我正在使用Firebase移动OTP身份验证。成功通过身份验证后,我的android应用会收到一个令牌,我必须在django服务器上进行验证。但是,当我在阅读验证此令牌的文档时,发现如果有人知道我的firebase project-id,他们可以在任何需要的时候生成有效的令牌。
要获取contec,请查看最后一种验证link上的Firebase令牌的方法
这不是很冒险,因为一旦有人知道了您的firebase项目ID,他们就可以创建伪造的令牌?
自定义身份验证令牌还能帮助解决此问题吗?
谢谢。让我知道我是否错误地理解了Firebase令牌验证,一旦知道了Firebase project-id,就不可能创建伪令牌。
答案 0 :(得分:1)
ID令牌由Firebase Auth拥有的私钥签名。他们不能被伪造。请注意,您参考的文档还指出:
最后,请确保ID令牌已由与该令牌的孩子声明相对应的私钥签名。从https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com中获取公钥,并使用JWT库来验证签名。
伪造的ID令牌不会通过签名检查。