【发布时间】:2020-06-24 03:18:18
【问题描述】:
我正在使用 firebase 和 MongoDB 构建应用程序。当使用云功能创建用户时,我想在 Firebase Auth Custom Claims 中添加 JWT Refresh 令牌。安全吗?
【问题讨论】:
标签: firebase firebase-authentication
我正在使用 firebase 和 MongoDB 构建应用程序。当使用云功能创建用户时,我想在 Firebase Auth Custom Claims 中添加 JWT Refresh 令牌。安全吗?
【问题讨论】:
标签: firebase firebase-authentication
我不能 100% 确定,但我认为这并不安全。您实际上是在向 Firebase 的 auth JWT 添加刷新 JWT。重要的是,JWT 已编码,但未加密。如果您的 Firebase 身份验证令牌以某种方式被劫持,它可以简单地被解码并且刷新 JWT 将被暴露。我认为暴露的刷新令牌可以用来检索新的合法令牌。
【讨论】: