【发布时间】:2018-09-16 23:47:25
【问题描述】:
从如何保护对在线资源的访问的一般开发角度来看,我对此感到好奇。我们使用以下 firebase 配置参数初始化我们的 webapp:
apikeyauthdomainprojectiddatabaseurlmessagesenderid
服务器如何使用这些来确保请求有效?主要是为什么其他人不能直接从应用程序中提取这些参数,然后创建另一个使用相同参数的“Evil”应用程序。
“邪恶”将包括创建一个不同的应用程序,使用从真实应用程序中获取的相同凭据,使用纯电子邮件/密码注册表单根据真实应用程序中包含的相同凭据为用户注册,然后一旦用户签了更“恶”。
也是简单的 node express js 应用程序,我们希望使用上述参数保护对它的访问,从应用程序请求生命周期的角度来看,这将如何工作?
1) Express 收到请求
2) Express 检查 ...
最后,这部分是 openid-connect 工作原理的一部分吗?换句话说,它是完全遵循 openid-connect 规范,还是专门为 firebase 构建的基于自定义的安全解决方案?
【问题讨论】:
标签: javascript node.js firebase firebase-authentication openid-connect