我开发使用Firebase作为外部身份验证服务的phoenix app。我使用Joken库。它要求我使用需要加密密钥的函数with_signer。我想这是JWT与Firebase签约的关键。问题是 - 我的假设是正确的吗?更重要的是 - 我在哪里找到这把钥匙?
答案 0 :(得分:1)
Firebase应在众所周知的地址发布公钥,您可以使用该公钥来验证JWT。
docs建议:
最后,确保ID令牌由私钥签名 对应于令牌的孩子声称。从中获取公钥 https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com 并使用JWT库来验证签名。使用的值 来自该端点的响应的Cache-Control标头中的max-age 知道何时刷新公钥。