【问题标题】:Firebase Authenticated HTTP Endpoints - Cloud Functions, are they Secure?Firebase Authenticated HTTP Endpoints - Cloud Functions,它们安全吗?
【发布时间】:2018-10-08 12:10:46
【问题描述】:

所以,我看到了这个帖子:How to protect firebase Cloud Function HTTP endpoint to allow only Firebase authenticated users?

基本上 HTTPS 端点验证它来自authorized use by ensuring Bearer token/Firebase ID is in the Authorization HTTP header.

我想知道,如果有人找到了这个 Firebase ID,这个 HTTP 端点不会被攻破吗?也就是说,他们可以通过 Authorization: Bearer <Firebase ID Token> 传递一个不记名令牌

我见过其他方法将 Firebase 实时数据库用作 API 本身,这可能更安全。

很好奇我是否在这里遗漏了什么。

【问题讨论】:

    标签: node.js firebase firebase-realtime-database google-cloud-functions


    【解决方案1】:

    显然,您应该小心不要暴露这些令牌。但是您应该知道这些令牌expire after 1 hour 并且需要由经过身份验证的客户端刷新。这在使用 Firebase SDK 时会自动发生。因此,即使有人由于粗心的应用程序设计而捕获了其中一个令牌,它在现实世界中的用处也非常有限。

    【讨论】:

    • 优秀,完美,这正是我想要的。谢谢
    • 您能否详细说明在这种情况下会导致粗心的应用程序设计:)
    • 特别注意不要在任何地方暴露该令牌。没有人预测他们会犯的错误。
    猜你喜欢
    • 2017-12-18
    • 2018-04-19
    • 1970-01-01
    • 2017-09-17
    • 1970-01-01
    • 2017-11-29
    • 1970-01-01
    • 2014-08-17
    相关资源
    最近更新 更多