在我的Android应用中,我让用户使用Firebase进行身份验证。然后,我将需要我的服务器知道登录哪个用户来处理权限。我对HTTPS不是很熟悉,但是我可以简单地将经过身份验证的用户的用户ID作为POST参数或cookie发送到服务器,这样会安全吗?
答案 0 :(得分:1)
因此,您在Android应用中对用户进行身份验证,并且该用户正在向您的服务器发送请求,您需要确认该用户的身份验证状态和身份。
您需要获取Firebase ID令牌。使用currentUser.getIdToken。这将为您提供Firebase ID令牌。然后,您可以将其发布到您的服务器。建议您使用https连接。此外,最好在请求的帖子正文或标题中传递ID令牌。在您的服务器上,您需要验证ID令牌:
https://firebase.google.com/docs/auth/admin/verify-id-tokens#verify_id_tokens_using_a_third-party_jwt_library
验证ID令牌及其有效负载后,您可以解析其内容并获取用户ID sub字段,以识别发送请求的经过身份验证的用户。