Есть ли способ выйти из системы с помощью admin SDK?
Admin SDK позволяет отозвать refresh токен пользователя.Это не приводит к немедленному выходу пользователя из системы, поскольку у него есть невозвратный токен ID , действительный в течение часа.
Если вы хотите немедленно сделать серверные ресурсы недоступными дляКлиент, чей токен вы отозвали, вы можете записать его состояние в базу данных при отзыве токена, а затем получить к нему доступ из своих правил безопасности.Нет более простого способа их мгновенно заблокировать.Также см. Пять советов по защите вашего приложения , которые охватывают эту тему и вопросы безопасности.
«Хакер» может изменить код клиента и предотвратить выход из приложения или повторную проверку подлинности
Состояние аутентификации клиента основано на ID-токене, который действителен в течение часа после его чеканки.Клиент не может расширить токен за пределы этого.Чтобы получить новый ID-токен, ему нужно будет обратиться к серверу аутентификации, который завершится неудачей после того, как его токен обновления был отозван.
Выход пользователя на клиент заставляет этого клиента забыть токены для этого пользователя.Идентификационный токен все еще будет действителен, но никто не узнает об этом.Имейте в виду: весь трафик между приложением и серверами отправляется через (сквозные зашифрованные) HTTPS-соединения.Это означает, что атака «человек посередине» возможна только в том случае, если кто-то может расшифровать этот трафик, что требует наличия у него доступа к сертификату.Более подробное объяснение см. Предотвращает ли https предотвращение атак посредника через прокси-сервер? .