如何在前端和 node.js 后端之间发送 firebase auth tokenId 的正确方法
How is correctly way to send firebase auth tokenId between front-end and node.js backend
我正在创建一个聊天应用程序。我想找到一种使用来自 firebase auth 的 TokenId 安全连接前端和后端的好方法。
- 我是否必须在从前端到后端的每个请求中发送 TokenId?
- 是否可以在会话中进行或类似的操作,我可以发送一次令牌并验证一次?
我现在的路。
我发送令牌的代码前端:
fetch('http://localhost:5500/check', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
},
body: JSON.stringify({ token: token }),
})
.then(data => data.json())
.then(e => console.log(e))
.catch(err => console.log(err));
});
我这样在前端获得令牌:
firebase.auth().currentUser.getIdToken(true)
我的代码后端验证令牌:
router.post('/check', urlencodedParser, (req, res) => {
const {token} = req.body;
admin
.auth()
.verifyIdToken(token)
.then(function (decodedToken) {
// let uid = decodedToken.uid;
res.setHeader('Content-Type', 'application/json');
res.send({status: 'Ok'});
})
.catch(function (error) {
console.log(error);
res.setHeader('Content-Type', 'application/json');
res.send({status: 'err'});
});
});
- Do I have to in every request from my front to backend send a TokenId?
这就是 Firebase 客户端和后端服务所做的:它们在每个请求中发送(并重新验证)ID 令牌。服务器缓存是解码令牌所需的 public 密钥,但除此之外,关于 user/ID 令牌几乎是无状态的。
- It is possible to do it in session or something like that I can send token once and verified it once time too?
您绝对可以将令牌保留在会话中,但这意味着您需要发送会话 ID 而不是令牌本身,并且必须为您的会话实施状态管理。
我正在创建一个聊天应用程序。我想找到一种使用来自 firebase auth 的 TokenId 安全连接前端和后端的好方法。
- 我是否必须在从前端到后端的每个请求中发送 TokenId?
- 是否可以在会话中进行或类似的操作,我可以发送一次令牌并验证一次?
我现在的路。
我发送令牌的代码前端:
fetch('http://localhost:5500/check', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
},
body: JSON.stringify({ token: token }),
})
.then(data => data.json())
.then(e => console.log(e))
.catch(err => console.log(err));
});
我这样在前端获得令牌:
firebase.auth().currentUser.getIdToken(true)
我的代码后端验证令牌:
router.post('/check', urlencodedParser, (req, res) => {
const {token} = req.body;
admin
.auth()
.verifyIdToken(token)
.then(function (decodedToken) {
// let uid = decodedToken.uid;
res.setHeader('Content-Type', 'application/json');
res.send({status: 'Ok'});
})
.catch(function (error) {
console.log(error);
res.setHeader('Content-Type', 'application/json');
res.send({status: 'err'});
});
});
- Do I have to in every request from my front to backend send a TokenId?
这就是 Firebase 客户端和后端服务所做的:它们在每个请求中发送(并重新验证)ID 令牌。服务器缓存是解码令牌所需的 public 密钥,但除此之外,关于 user/ID 令牌几乎是无状态的。
- It is possible to do it in session or something like that I can send token once and verified it once time too?
您绝对可以将令牌保留在会话中,但这意味着您需要发送会话 ID 而不是令牌本身,并且必须为您的会话实施状态管理。