我已经直接从Google Firebase创建了一个用于验证用户身份的应用,而项目中没有任何用户模型。我正在使用Firebase authentication和python Admin sdk。该应用程序位于github中。
因此,想法是创建自定义的login和logout视图。也是一个中间件,用于处理每个请求的身份验证。用户数据也可以作为python对象绑定以提高可用性。目前,主视图中存在中间件logic。
使用当前逻辑,每个请求都必须验证cookie,这是一个网络请求。根据firebase文档,无需网络请求即可完成验证。
使用管理SDK verifySessionCookie API验证会话cookie。这是一种低开销的操作。最初会查询并缓存公共证书,直到它们到期为止。可以使用缓存的公共证书完成会话cookie验证,而无需任何其他网络请求。
但是我不知道缓存的公共证书在哪里以及如何使用?
我正在使用firebase web ui身份验证,并将令牌发送到服务器,并根据文档在服务器中进行验证。在浏览器上使用firebase应用配置是否安全?还想拥有android和iOS应用程序,所以我想坚持使用Firebase。
继续进行下去是个好主意吗?如何将其开发为可重用的Django应用程序?请与您分享您对身份验证和可能的安全漏洞的看法?
Github项目路径:https://github.com/binoyudayan/django_firebase_authetication.git
谢谢。