好的,在我的iOS应用程序中,我将用户登录到firebase,然后获取jwt令牌。所以现在我的服务器上有一个api,接受GET标题中的idtoken。
我在这做什么?当然,我不会在每个API调用上验证JWT againt firebase吗?我的意思是它很快,但是通过第二次外部检查增加了延迟,不是吗?如何简单地解码C#中的那个人?我已经有一个Auth0层,它用我的服务器存储的密码解码JWT,但是相同的代码对Firebase令牌不起作用。
它是否只是被解码然后从中提取用户详细信息,可能只是检查到期时间和是否到期> X个月它还可以吗?
答案 0 :(得分:2)
为了验证Firebase ID令牌和JWT,您只需在服务器上进行网络呼叫即可获取通常几小时内未更新的公共证书。您可以缓存它并尝试使用ID令牌进行验证,如果失败,则只加载新的公共证书。
是的,您必须在每次通话时验证ID令牌,特别是因为Firebase ID令牌通常在一小时后过期,需要连续刷新。