我正在使用Firebase Auth进行用户会话。 ID令牌存储在客户端,并在每次请求时发送到我的GAE后端。
这似乎很昂贵,所以我想避免这种情况。 我想我不需要为面向公众的GET(幂等)端点验证它,但是对于访问受限的请求和POST请求,我是否总是需要在每个请求中验证令牌,或者是否有安全的优化(例如缓存)服务器端验证过的ID令牌?
答案 0 :(得分:0)
示例:
/get/account/user1
在其中重定向时,发送并进行验证。
但是!如果您要进行/home,则不需要身份验证,则无需发送。
甚至,我会建议不要在不需要时不发送它。
如果您有路由器,则应将Array用于所有需要TOKEN ID的路由,并检查重定向:)。