我可以使用 HTTP API 让用户登录到 Firebase:
如何退出用户,以使 Firebase idToken 和 refreshToken 无法再使用?
另外,refreshToken 的有效期是多久?
如果我的用户数周未使用我的应用,我是否仍可使用 refreshToken 还是需要重新获得 Google 登录 idToken 并将其换成 Firebase(idToken、refreshToken ) 通过/identitytoolkit/v3/relyingparty/verifyAssertion API 配对?
【问题讨论】:
标签: firebase oauth firebase-authentication google-oauth
我认为没有退出端点。您可以尝试重定向到 https://accounts.google.com/Logout,但我怀疑这会退出所有 Google 服务,这可能不是一个好主意。
刷新令牌的全部意义在于,无论用户是否存在并登录,它们都可用于访问资源,因此您的评论“我如何注销用户,以便 Firebase idToken 和 refreshToken 不能再被使用”是矛盾的。
理论上,刷新令牌在用户明确撤销之前是有效的,但您的应用应针对 Google 已使其过期的可能性进行编码。
【讨论】:
idToken。我将idToken 传递给/identitytoolkit/v3/relyingparty/verifyAssertion 的Firebase Auth,响应是(idToken,refreshToken)对。对于来自客户端的所有 Firestore REST API 请求,我在 Authorization : Bearer $idToken 标头中使用此 idToken。 Firestore DB 设计为直接从客户端使用 - 在这种情况下,如何防止客户端上有刷新/id 令牌?
客户端无法通过 REST API 直接撤销 ID 令牌,但 Firebase Auth 客户端 SDK(例如:Android)和Auth Admin SDK 都支持它。因此,如果您的客户端平台不受支持,但您能够创建一个小型服务器实现(可能通过 Firebase/Cloud Functions),您可以创建一个触发 ID 令牌撤销的 HTTP 端点。
【讨论】: