我们正在开发一个系统,其中客户端(移动应用程序)主要通过node.js后端与有时与firebase直接进行通信。
其中一项功能是点对点消息传递,我们在客户端使用ChatSDK集成Firebase。我们在使用ChatSDK了解自定义身份验证时遇到了一些困难。
我们想要的是一个用户能够使用ChatSDK进行注册和登录(电子邮件,Facebook,Google)。我们的后端使用admin sdk的verifyToken函数对客户端呼叫进行身份验证。令牌每小时过期一次-客户应该每小时获取一个新令牌吗?刷新令牌在这里如何发挥作用?
我们的服务器上确实有一个端点,可以使用createCustomToken(uid)函数生成自定义令牌。用户是否应该先向chatSDK注册,然后使用此端点来获取令牌?这是否是一个安全隐患,所有人都需要的是用户ID来获取令牌以通过HTTP端点访问敏感数据吗?
1)我们如何仅从chatSDK中获取令牌? 2)用户如何确保它始终具有有效的令牌以与node.js后端进行通信?