仅当Firebase身份验证正常时才提供静态Webapp服务

时间:2019-07-18 08:40:05

标签: javascript node.js firebase cookies firebase-authentication

我目前有2个由nginx服务的静态和公共Web应用程序(=完全没有服务器):

  • app_auth
  • app_product

除非用户成功通过app_product登录到我称为JS firebase auth的用户,否则我想让app_auth完全安全,私有且不可访问(包括webapp源,图像,js,css) api(无服务器)。

所以我想我必须:

  • 通过带有中间件的服务器(nodejs)为app_product应用提供服务,我将在该中间件中针对每个请求(index.html,css,js等)检查用户Firebase idToken是否有效(每次都调用firebase api ...)
  • 找到一种向app_product发送的每个HTTP请求发送idToken的方法=> cookie似乎是简单的方法

问题:是否可以安全地创建浏览器端 cookie,并在其中存储IdToken以便将其传递给每个HTTP请求? 我知道服务器端创建的cookie是非常安全的,但是由于当前没有服务器,因此将需要对体系结构进行太多更改。

您看到我的问题的任何其他解决方案吗? ps:我不能使用服务人员在每个http请求上添加idToken。

谢谢

0 个答案:

没有答案