在服务器端验证 firebase 令牌的安全问题?
Security issue with verifying firebase token on server side?
我正在使用 firebase 移动 otp 身份验证。身份验证成功后,我的 android 应用程序收到一个令牌,我必须在我的 Django 服务器上验证该令牌。但是当我阅读验证此令牌的文档时,发现如果有人知道我的 firebase 项目 ID,他们可以随时生成有效令牌。
要获取contec,请查看link
上最后一个验证firebase令牌的方法
这不是很冒险吗,因为一旦有人知道您的 firebase 项目 ID,他们就可以创建假令牌??
自定义身份验证令牌是否也有助于解决这个问题?
谢谢。如果我对 firebase 令牌验证的理解有误,请告诉我,一旦我们知道 firebase 项目 ID 就不可能创建假令牌。
ID 令牌由 Firebase Auth 拥有的私钥签名。它们无法伪造。请注意,您引用的文档还指出:
Finally, ensure that the ID token was signed by the private key corresponding to the token's kid claim. Grab the public key from https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com and use a JWT library to verify the signature.
伪造的 ID 令牌将无法通过签名检查。
我正在使用 firebase 移动 otp 身份验证。身份验证成功后,我的 android 应用程序收到一个令牌,我必须在我的 Django 服务器上验证该令牌。但是当我阅读验证此令牌的文档时,发现如果有人知道我的 firebase 项目 ID,他们可以随时生成有效令牌。
要获取contec,请查看link
上最后一个验证firebase令牌的方法这不是很冒险吗,因为一旦有人知道您的 firebase 项目 ID,他们就可以创建假令牌??
自定义身份验证令牌是否也有助于解决这个问题?
谢谢。如果我对 firebase 令牌验证的理解有误,请告诉我,一旦我们知道 firebase 项目 ID 就不可能创建假令牌。
ID 令牌由 Firebase Auth 拥有的私钥签名。它们无法伪造。请注意,您引用的文档还指出:
Finally, ensure that the ID token was signed by the private key corresponding to the token's kid claim. Grab the public key from https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com and use a JWT library to verify the signature.
伪造的 ID 令牌将无法通过签名检查。