我正在通过Firebase SDK对我的应用程序的用户验证客户端。 然后启动客户端会话。我希望用户能够向PHP端点发布一些数据。我希望PHP脚本检查请求是否来自经过身份验证的用户,然后验证其余数据。如果一切正常,我们将完成操作。
我想这样做:
从安全角度来看,这是好主意还是可怕主意?
答案 0 :(得分:1)
首要经验法则是,为了验证Firebase生成的JWT,您需要保护Firebase的秘密。第二个经验法则是永远不要将Firebase密钥发送或存储在客户端上。
鉴于此,要通过PHP验证JWT,您需要使用一个解码它的库并验证它是否已由您的Firebase密钥签名。一旦你验证了,我会查看JWT的uid,看看它是否与拥有该资源的用户的uid相匹配。