Я создаю собственное мобильное приложение и использую библиотеки входа Google и Apple для проверки подлинности. Обе библиотеки используют firebase для аутентификации, но моя база данных находится в другом месте (heroku в процессе разработки, но, вероятно, в будущем перейдет на цифровой океан). Как я могу защитить свой API, используя токены доступа, которые я получаю от служебных программ входа Google и Apple на моем сервере, не поддерживающем Firebase? Все примеры кода, которые я видел, используют firebase в качестве бэкэнда. Я хочу убедиться, что все вызовы API аутентифицированы, и что на клиенте используются надлежащие методы хранения / обновления, при этом поддерживая UX «постоянного сеанса» для пользователей, чтобы им не приходилось входить каждый раз при открытииприложение.
Я чувствую, что должен это знать, и у меня есть несколько идей, но я действительно не хочу, чтобы этот аспект приложения был неправильным.