我正在使用Firebase SDK在Android应用上为用户授权用户,该项目位于App Engine上并且已经使用了许多GCP和`G-Suite功能。
网络应用程序依赖于离线访问用户的Google帐户。
Android应用程序正在尝试使用与Web前端正在使用的相同的后端API。为此,我将用户的ID token发送给后端。
问题是这个ID令牌在一段时间后过期,我不得不重新验证用户以获取新的ID令牌。最初,我希望它不会在Android应用程序本身上自动过期或生成新的ID令牌,但之后我检查了OAuth2 documentation,这提到了以下声明 -
重要的是Android应用程序永远不会尝试交换 自己的刷新令牌代码。这需要应用程序 存储服务器的客户端ID和客户端密钥。包括这些 你的Android应用程序不安全,因为应用程序很容易被分解。
那里提到了推荐的流程,但我找不到任何可以帮助我使用Firebase Android SDK做同样事情的内容。
是否可以使用Firebase获取authorization code,以后可以通过后端交换刷新令牌?如果是,那么你可以指出我正确的文档或代码示例吗?