Firebase 会话到期

Question

看起来，当 Firebase 从 v2 迁移到 v3.x SDK（现在迁移到 v4）时，他们决定删除自动会话到期选项，转而支持始终经过身份验证的模型。

• Firebase 3.x - Token / Session Expiration
• https://groups.google.com/forum/#!topic/firebase-talk/uYMlQny1Jb4

这是一个不错的功能，但从网络安全的角度来看，我发现了一些问题，因为这是带有 Firebase 生成令牌的 Firebase SDK 的唯一选项，例如 email and password authentication（一些其中在链接的谷歌小组讨论中得到了很好的解释）。

在页面退出时调用user.signOut() 的常用建议存在一些漏洞。也就是说，如果客户端崩溃了，那么这段代码永远不会被执行，因此策略就会崩溃。 “在页面加载时退出”建议也有漏洞：

1. 每次页面加载/重新加载时强制所有用户登录（不是目标）
2. 由于 Firebase 将大部分内容推送到客户端，因此没有什么能阻止某人创建一个尝试访问目标 Firebase 的脚本没有user.signOut()

我正在寻找一种策略，从网络安全的角度来看，它可以让用户选择加入“始终经过身份验证”策略，而不是默认策略（即带有“记住我”按钮）。

我想出的一个策略如下：

1. 用户登录
2. 获取为该会话生成的 JWT 并将其写入 Firebase
3. 如果用户在登录时没有选择“记住我”，请设置一个 onDisconnect 处理程序，从用户令牌列表中清除令牌
4. 在 Firebase 安全规则中，确保发出请求的用户的 JWT 在该用户的令牌列表中

这感觉更安全，因为即使浏览器崩溃，onDisconnect 方法仍然会执行。 但是，JWT 不能用作 Firebase 规则变量 (only the contents of the token)！

鉴于这些问题/有缺陷的方法，如何在浏览器关闭/崩溃后（甚至在预定时间段后）使用 Firebase 生成的令牌使会话无效？

Answer 1

这里有一个建议： ID 令牌有一个 auth_time 字段。这是用户进行身份验证的时间，您可以强制使用所需的任何会话长度。如果您在服务器上验证令牌或使用 https://firebase.google.com/docs/reference/security/database/#now 和 auth.token.auth_time 通过数据库规则验证令牌，则可以强制执行此操作。检查https://firebase.google.com/docs/reference/security/database/#authtoken。

您将要求用户重新进行身份验证才能访问数据。重新认证将更新令牌中的 auth_time。

这是一种更好的方法，因为跟踪所有 ID 令牌不会很好地扩展，并且 ID 令牌会在一小时后过期，新的令牌将在用户返回应用程序后刷新，但会保持相同的 auth_time。

不确定这是否会减轻您的担忧，但 Firebase 正在研究以下功能：

1. 能够为 Web 身份验证指定持久性。这类似于 sessionOnly auth 在 Firebase 3.x 中的工作方式。这将使“记住我”功能易于实现。
2. 撤销会话的能力。