忍受我,我可能错了:我不是安全专家。
我相信我一直在阅读有关OAuth 2如何不能阻止blogdown的信息。建议的预防此类事件的方法是什么?
我还认为,在我们的服务器端项目中,将replay-attacks的JSON(用于与Google验证Admin SDK的凭据)保留在我们的服务器端项目中是可能的安全漏洞(google-account-services.json)。
这些系统的其他已知缺陷是什么,如何使用它们来提高系统的安全性?
(我正在使用Firebase身份验证来标识服务器上的用户,该服务器使用Admin SDK。)
答案 0 :(得分:1)
Firebase Admin SDK具有对Firebase项目的完全管理访问权限,因此只能在您控制的受信任服务器上使用。它使用google-account-services.json中的凭据对Google服务器进行身份验证。
Admin SDK和Google服务器之间的所有通信都是通过加密连接进行的,因此除非您自己设置解密代理或发放SSL证书,否则将不会被拦截。