通过firebase文档,我想知道像reauthenticateWithCredential
这样的方法会如何防止本地篡改将代码置于该方法之外,从而不再需要reauth。 firebase是否解析本地文件以确保它不变?还是其他一些方法?
答案 0 :(得分:0)
你在使用reauthenticateWithCredential
做什么用途? Firebase Auth将要求对电子邮件或密码更新等敏感操作进行最近的身份验证。 Firebase Auth还会使需要重新认证的大帐户更改失效。
如果您需要对敏感操作(如信用卡更改,送货地址更改等)进行重新认证,则需要通过检查ID中的auth_time
(这是登录操作的时间戳)来进行最近的身份验证令牌并确认它是最近的(重新认证更新)。因此,即使他们从客户端绕过此操作,您的后端ID令牌验证或安全规则也会通过检查auth_time
来强制执行重新身份验证。