如Firebase Admin Auth documentation中所述,我将我的idToken发布到后端,并且可以使用,但是因为在Cloud Functions中,我不想使用CSRF-Token存储会话,所以我的想法是将firebase uid发送到服务器,并且在服务器上我在每个verifySessionCookie请求之后检查我的client(side).uid === (ServerSide)decodedClaims.uid是否保护我的网站免受CSRF攻击,因为“攻击者”不知道UID吗?
这是个好主意吗?