使用 admin sdk 进行 Firebase 身份验证?
Firebase Auth with admin sdk?
我正在使用 firebase firestore 作为我基于 Web 的应用程序的数据存储。该应用程序有 2 个不同的参与者。
主管:通过为所有主管设置的通用密码以及生成唯一代码的能力登录。
用户:通过管理员生成的唯一代码登录。
我正在使用云功能为两个演员完成繁重的工作。现在这些函数受到 cors 和来源白名单的保护。
我正在尝试使用 Auth 中间件保护使用云函数创建的路由,该中间件依赖于请求是否来自经过身份验证的帐户的概念。
我已经为我的应用程序的前端部分的两个参与者创建了一个电子邮件和密码帐户。
问题是,如果我要使用 firebase Auth api 来获取刷新令牌并将其用作中间件中的 jwt,这是否会成为一个问题,因为假设有 100 个主管已连接并执行一些操作任务,第二个演员也一样?因为在检查刷新令牌后,它包含经过身份验证的帐户的 uid,并且在这种情况下使用同一帐户进行多个连接是障碍。
the point of a token to be used in every operation is to validate the origin of the request
Firebase 身份验证使用 ID 令牌来验证用户的身份,而不是请求的来源。您场景中的恶意用户可以从应用程序获取凭据,并在他们自己的代码中使用它们 - 在您的 Firebase 项目上调用 API。
如果您只想允许来自您自己的应用的调用,请考虑使用 Firebase 的新 App Check 功能。
我正在使用 firebase firestore 作为我基于 Web 的应用程序的数据存储。该应用程序有 2 个不同的参与者。
主管:通过为所有主管设置的通用密码以及生成唯一代码的能力登录。
用户:通过管理员生成的唯一代码登录。
我正在使用云功能为两个演员完成繁重的工作。现在这些函数受到 cors 和来源白名单的保护。
我正在尝试使用 Auth 中间件保护使用云函数创建的路由,该中间件依赖于请求是否来自经过身份验证的帐户的概念。
我已经为我的应用程序的前端部分的两个参与者创建了一个电子邮件和密码帐户。
问题是,如果我要使用 firebase Auth api 来获取刷新令牌并将其用作中间件中的 jwt,这是否会成为一个问题,因为假设有 100 个主管已连接并执行一些操作任务,第二个演员也一样?因为在检查刷新令牌后,它包含经过身份验证的帐户的 uid,并且在这种情况下使用同一帐户进行多个连接是障碍。
the point of a token to be used in every operation is to validate the origin of the request
Firebase 身份验证使用 ID 令牌来验证用户的身份,而不是请求的来源。您场景中的恶意用户可以从应用程序获取凭据,并在他们自己的代码中使用它们 - 在您的 Firebase 项目上调用 API。
如果您只想允许来自您自己的应用的调用,请考虑使用 Firebase 的新 App Check 功能。