• 1000 Я думаю об этом, потому что Firebase бесплатна и очень проста в интеграции. Однако проверка токена JWT на стороне сервера - дорогостоящий вызов, который, как мне кажется, не должен выполняться при каждом запросе. Firebase предлагает безопасное приготовление ie, но максимальный срок составляет 2 недели. Мое приложение не нуждается в такой большой безопасности, и я думаю, что большинство моих пользователей будут раздражены, если я попрошу их повторно проходить аутентификацию каждые 2 недели, поэтому я ищу лучшее решение.
Итак, вот моя мысль:
- Пользователь аутентифицируется с помощью Google / Firebase, и интерфейс получает токен.
- Внешний интерфейс отправляет токен в серверную часть и серверная часть проверяет токен с помощью Google и проверяет, что время входа было недавним.
- Затем серверная часть создает или получает пользователя из моей базы данных и устанавливает идентификатор пользователя в длительном сеансе express и всех последующих запросах используйте это (кроме случая, когда что-то ra sh, например, удаление вашей учетной записи, где мне снова потребуется токен).
По сути, это использование токена для первоначальной аутентификации / проверки, но затем используя стандартный сеанс express.
Насколько я могу судить, это действительно не отличается от того, что делает паспорт после аутентификации. Но я был бы признателен за некоторую проверку того, что это относительно безопасно, учитывая, что это через HTTPS, и я защищаю от CSRF. из-за более короткого срока службы токена, но разве это хуже, чем использование паспорта и необходимость самому хранить свои учетные данные?
Так это безопасно или глупо?
Спасибо!