我正在使用需要身份验证和会话处理的Firebase构建基本Web应用程序。通过Firebase Auth的文档,我决定在Facebook登录时使用email/password选项。
成功登录后,我们会获得token,可以在页面刷新时再次使用,或使用auth()在新标签页上登录。但是,为此,我们需要在客户端的某处保存令牌。通过实现身份验证和会话处理的source code for Firefeed,token将保存在用户浏览器的localStorage中。
这种方法有多安全?由于使用浏览器的任何人都可以看到localStorage数据。还有更好的选择吗?
答案 0 :(得分:23)
Simple Login返回的标记是有时间限制的,特定于用户的标记。如果受到攻击,他们最坏的情况是允许攻击者在有限的时间内冒充该用户。它们不包含用户的密码或其他敏感数据。
localstorage只能通过保存它的主机域上的Javascript访问,因此您访问的其他站点将无法访问它(假设浏览器或您的站点没有受到攻击,但如果有,则全部投注已经结束......)
所以,简短的回答,这种方法非常安全。