【发布时间】:2018-10-08 12:10:46
【问题描述】:
所以,我看到了这个帖子:How to protect firebase Cloud Function HTTP endpoint to allow only Firebase authenticated users?
基本上 HTTPS 端点验证它来自authorized use by ensuring Bearer token/Firebase ID is in the Authorization HTTP header.
我想知道,如果有人找到了这个 Firebase ID,这个 HTTP 端点不会被攻破吗?也就是说,他们可以通过 Authorization: Bearer <Firebase ID Token> 传递一个不记名令牌
我见过其他方法将 Firebase 实时数据库用作 API 本身,这可能更安全。
很好奇我是否在这里遗漏了什么。
【问题讨论】:
标签: node.js firebase firebase-realtime-database google-cloud-functions