【问题标题】:Is it secure to store JWT Refresh token in Firebase Auth Custom Claims?在 Firebase Auth 自定义声明中存储 JWT 刷新令牌是否安全?
【发布时间】:2020-06-24 03:18:18
【问题描述】:

我正在使用 firebase 和 MongoDB 构建应用程序。当使用云功能创建用户时,我想在 Firebase Auth Custom Claims 中添加 JWT Refresh 令牌。安全吗?

【问题讨论】:

    标签: firebase firebase-authentication


    【解决方案1】:

    我不能 100% 确定,但我认为这并不安全。您实际上是在向 Firebase 的 auth JWT 添加刷新 JWT。重要的是,JWT 已编码,但未加密。如果您的 Firebase 身份验证令牌以某种方式被劫持,它可以简单地被解码并且刷新 JWT 将被暴露。我认为暴露的刷新令牌可以用来检索新的合法令牌。

    【讨论】:

      猜你喜欢
      • 2021-09-26
      • 1970-01-01
      • 2020-12-05
      • 2020-02-02
      • 2018-09-18
      • 2018-10-16
      • 1970-01-01
      • 1970-01-01
      • 2017-12-25
      相关资源
      最近更新 更多