我无法弄清楚依赖Firebase进行单点登录身份验证的应用程序使用的流程到底是什么。
我知道大多数SPA和客户端应用程序都使用“隐式流”,基本上是因为一切都在浏览器中发生,并且没有反向通道,因此应用程序直接检索auth令牌。
但是Firebase也是如此吗? 假设我们有一个Angular2 + Web应用程序,该应用程序使用Firebase和AngularFire库与一个可用的提供程序(即Facebook,Google等)实现Single Sign-On身份验证
Firebase充当应用程序的后端,那么在这种情况下使用的身份验证流程到底是什么? 是更安全的“授权码”之一还是更简单的“隐式流程”?
我已阅读Firebase文档,但找不到任何特定信息。
答案 0 :(得分:1)
他们将授权代码流用于受支持的OAuth 2.0提供程序(Google,Facebook和GitHub)。流程结束时,也会使用您在Firebase控制台中使用提供商配置的密钥将代码交换为访问令牌或ID令牌(谷歌大小写)。