Firebase经过身份验证的HTTP端点 - 云功能,它们是否安全?

时间:2018-04-27 15:42:32

标签: node.js firebase firebase-realtime-database google-cloud-functions

所以,我看过这篇文章:How to protect firebase Cloud Function HTTP endpoint to allow only Firebase authenticated users?

基本上,HTTPS端点验证它来自authorized use by ensuring Bearer token/Firebase ID is in the Authorization HTTP header.

我想知道,如果有人发现此Firebase ID,这个HTTP端点是否会受到损害?即,他们可以使用Authorization: Bearer <Firebase ID Token>

传递持有人令牌

我见过其他方法可以将Firebase实时数据库用作API本身,这可能更安全。

如果我在这里遗漏了什么,我很好奇。

1 个答案:

答案 0 :(得分:1)

显然,你应该小心不要暴露这些代币。但是您应该知道这些令牌expire after 1 hour并且需要由经过身份验证的客户端刷新。使用Firebase SDK时会自动执行此操作。因此,即使有人因粗心的应用程序设计而捕获其中一个令牌,它在现实世界中的用处非常有限。