我想将PayPal登录集成到Android应用程序中,以便将客户端验证到Firebase数据库。我已经设法在node.js服务器上创建一个自定义函数,该服务器从提供的uid创建标记,以便在客户端应用程序中使用“signin withcustomtoken”函数。我应该通过https将uid发送到nodejs服务器以获取令牌吗?还有更好的方法吗?
答案 0 :(得分:0)
不要创建接受uid的HTTP端点并返回自定义令牌。这是一个巨大的安全漏洞,因为任何攻击者都可以冒充任何知道他们uid的用户。
您需要做的是:
signInWithCustomToken可以使用该自定义令牌完成登录。在这种情况下,您将公开一个HTTP端点,该端点接收授权码并返回Firebase自定义令牌。
这是基本想法(不包括细节)。当然,你仍然必须通过传递一些状态来确保流程在同一设备上开始和结束,然后检查你最后是否恢复了它。您还必须确保使用应用程序链接等方式将身份验证代码返回到正确的应用程序.Firebase动态链接可以在那里提供帮助。