我正在设计一个新的Angular SPA,鉴于FireBase已经在前端对我的用户进行了身份验证,我对后端在其中执行的操作感到困惑,并且该操作应该实例化某种形式的用户会话?
在这里我的想法崩溃了:
在考虑身份验证时,我的过程在这一点上破裂了。我的老板说后端应该永远是无状态的,所以...
在第5步之后,我该如何加密回客户端,还有什么我想念的东西?
///////////////////////////
///////////////////////////
///////////////////////////
后代编辑:
对我来说,困惑在于混合抽象级别,特别是抽象了从一个登录页面开始就创建会话的想法。当我开始将会话视为不是由一个组件管理的东西,而是一个将用户与多个组件交互的状态进行包装的过程时,我得到了最大的好处。
答案 0 :(得分:2)
Firebase身份验证自动在内部管理ID令牌。如果您希望用户调用某些后端API,但只有在允许的情况下,您应该做的是get that token from the client SDK,将其发送到带有请求的后端,然后后端使用Firebase Admin SDK每次通话时verify that token。
该链接文档具有代码示例,以更详细地说明其如何在不同的客户端和服务器平台上工作。