如果有人窃取了您的 firebase 身份验证刷新令牌,会发生什么情况?
What happens in case where someone steals your firebase auth refresh token?
我开始了解 JWT,我想知道是否有人同时掌握了我的 ID 令牌和刷新令牌,是否有人可以无限期地访问 firestore 或其他假装是我的 firebase 资源(直到刷新令牌被撤销)?
如果是这样,firebase 如何防止这种情况发生?
我不禁觉得,如果有人能得到我的 id 令牌,那么访问刷新令牌也不难。
与 Firebase API 的所有通信都通过 HTTPS,这意味着没有人可以监听该通信。它是安全的。如果某人同时获得了新的 ID 令牌和刷新令牌,则可以在调用 Firebase API 时冒充您。
但是,除非您犯了安全错误,否则任何人都无法获得您的 ID 令牌或刷新令牌。例如,在您登录后让计算机处于解锁状态是个坏主意。或者,有一个容易猜到的密码。使用所有标准安全预防措施,您不会有问题。
我开始了解 JWT,我想知道是否有人同时掌握了我的 ID 令牌和刷新令牌,是否有人可以无限期地访问 firestore 或其他假装是我的 firebase 资源(直到刷新令牌被撤销)?
如果是这样,firebase 如何防止这种情况发生?
我不禁觉得,如果有人能得到我的 id 令牌,那么访问刷新令牌也不难。
与 Firebase API 的所有通信都通过 HTTPS,这意味着没有人可以监听该通信。它是安全的。如果某人同时获得了新的 ID 令牌和刷新令牌,则可以在调用 Firebase API 时冒充您。
但是,除非您犯了安全错误,否则任何人都无法获得您的 ID 令牌或刷新令牌。例如,在您登录后让计算机处于解锁状态是个坏主意。或者,有一个容易猜到的密码。使用所有标准安全预防措施,您不会有问题。