Как сервер может узнать, поступил ли запрос с того же компьютера, на котором вошел пользователь firebase?

Question

Я немного неясен в части потока аутентификации Firebase.

Я использую встроенный пользовательский интерфейс для входа пользователя в веб-интерфейс, и после его завершения я использую это, частично псевдокодировано:

signInSuccessWithAuthResult: async function(authResult, redirectUrl) {
    const idToken = await authResult.user.getIdToken();
    setIdTokenAsCookie(idToken);
    reloadPage();
}

Идея состоит в том, что пользователь вошел в систему, поэтому я установил idToken как повар ie и обновил страницу sh. Бэкэнд получает idToken от повара ie, затем проверяет Firebase для проверки там idToken и возвращает страницу входа в систему с указанными пользователем данными c.

Но .... как это сделать бэкэнд знает, что этот запрос пришел с машины, на которой вошел пользователь? Разве злоумышленник на другом компьютере не может отправить запрос с угаданным idtoken и таким образом получить доступ? Является ли вопросом ограничения скорости конечной точки на моем бэкэнде, чтобы они не могли найти действительный idtoken?

Answer 1

Но .... как бэкэнд узнал, что этот запрос пришел с компьютера, на котором вошел пользователь?

Это не так, и это не обязательно.

Не может ли злоумышленник на другом компьютере отправить запрос с угаданным idtoken с грубой силой и таким образом получить доступ?

Астрономически это вряд ли произойдет. Если это то, что вас беспокоит, вы беспокоитесь о вещах, которые обычно считаются криптографически безопасными. Идентификатор, который вы получаете от Auth, является JWT. Подробнее об этом.

Это вопрос ограничения скорости конечной точки на моем бэкэнде, чтобы они не могли найти действительный idtoken?

Я бы посчитал это пустой тратой усилий.