Firebase经过身份验证的HTTP端点 - 云功能，它们是否安全？

Question

所以，我看过这篇文章：How to protect firebase Cloud Function HTTP endpoint to allow only Firebase authenticated users?

基本上，HTTPS端点验证它来自authorized use by ensuring Bearer token/Firebase ID is in the Authorization HTTP header.

我想知道，如果有人发现此Firebase ID，这个HTTP端点是否会受到损害？即，他们可以使用Authorization: Bearer <Firebase ID Token>

传递持有人令牌

我见过其他方法可以将Firebase实时数据库用作API本身，这可能更安全。

如果我在这里遗漏了什么，我很好奇。

Answer 1

显然，你应该小心不要暴露这些代币。但是您应该知道这些令牌expire after 1 hour并且需要由经过身份验证的客户端刷新。使用Firebase SDK时会自动执行此操作。因此，即使有人因粗心的应用程序设计而捕获其中一个令牌，它在现实世界中的用处非常有限。