Я реализовал аутентификацию на основе SAML в приложении Angular Firebase, и, похоже, он работает как задумано. Я могу использовать охрану маршрутов на переднем крае, чтобы ограничить различные маршруты. Тем не менее, мне кажется, что это скорее область взаимодействия с пользователем, не совсем безопасная. Любой может просто поставить точку останова, где оценивается защита маршрута, и изменить выражение.
В настоящее время я вхожу в систему следующим образом:
const provider = new auth.SAMLAuthProvider('saml.myapp');
const user = await this.afAuth.auth.signInWithRedirect(provider);
Я заинтересован в аутентификации чувствительные функции Firebase. Единственный пример, который я нашел, однако не использует SAML . В успешном пользовательском объекте после перенаправления у меня есть stsTokenManager.accessToken и stsTokenManager.refreshToken. Я думаю, что могу включить их в каждый заголовок Authorization запросов, но после этого я немного растерялся, что делать. Passport-SAML , который я использовал до firebase или angular, похоже, не имеет никакого способа проверить SAML на основе токенов, только делая перенаправления и вход сам.
Как я могу аутентифицировать функцию Firebase с пользователем, вошедшим в веб-интерфейс?