通过REST HTTP API注销用户

时间:2018-12-24 13:28:35

标签: firebase oauth firebase-authentication google-oauth

我可以使用以下HTTP API登录用户到Firebase: https://firebase.google.com/docs/reference/rest/auth/#section-sign-in-with-oauth-credential

如何注销用户,以便不再使用Firebase idTokenrefreshToken

另外,refreshToken的有效期是多长时间?

如果我的用户连续数周未使用应用程序,我是否仍可以使用refreshToken还是需要重新获得Google登录idToken并将其替换为Firebase({{1 }},idToken)通过refreshToken API配对?

2 个答案:

答案 0 :(得分:1)

我不认为有退出端点。您可以尝试重定向到https://accounts.google.com/Logout,但是我怀疑这是从所有Google服务中退出的,这可能不是一个好主意。

“刷新令牌”的全部意义在于,无论用户是否存在并登录,它们都可用于访问资源,因此您的注释“我如何注销用户,以使Firebase idToken和refreshToken不再可用被使用”是矛盾的意思。

“刷新令牌”在理论上是有效的,直到用户明确将其吊销为止,但是您的应用应该对Google过期的可能性进行编码。

答案 1 :(得分:0)

客户端无法直接通过REST API撤销ID令牌,但是Firebase Auth客户端SDK(例如:Android)和Auth Admin SDK均支持该令牌。因此,如果不支持您的客户端平台,但是您能够创建一个小型服务器实现(可能通过Firebase / Cloud Functions),则可以创建一个触发ID令牌吊销的HTTP端点。