Question

Итак, я видел этот пост: Как защитить Firebase Cloud Function Конечная точка HTTP, чтобы разрешить только пользователям, прошедшим проверку подлинности Firebase?

По существу, конечная точка HTTPS подтверждает, что она authorized use by ensuring Bearer token/Firebase ID is in the Authorization HTTP header.

Мне интересно, если бы кто-то нашел этот Firebase ID, не скомпрометировали ли бы эту конечную точку HTTP? Т.е. они могли бы передать токен-носитель с Authorization: Bearer <Firebase ID Token>

Я видел другие методологии, которые использовали бы базу данных Firebase в реальном времени в качестве самого API, который мог бы быть более безопасным.

Любопытно, если я что-то здесь упускаю.

Doug Stevenson · Answer 1 · 27 апреля 2018

Очевидно, что вы должны быть осторожны, чтобы не выставлять эти токены. Но вы должны знать, что эти токены истекают через 1 час и должны быть обновлены аутентифицированным клиентом. Это происходит автоматически при использовании Firebase SDK. Таким образом, даже если кто-то захочет получить один из этих токенов из-за небрежного дизайна приложения, он будет иметь весьма ограниченную полезность в реальном мире.

Конечные точки HTTP с проверкой подлинности Firebase - Облачные функции, они безопасны?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Конечные точки HTTP с проверкой подлинности Firebase - Облачные функции, они безопасны?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов