我开始学习JWT,我想知道是否有人持有我的ID令牌和刷新令牌,是否有人可以无限期地假装是我的人访问Firestore或其他Firebase资源(直到刷新令牌被吊销) )?
如果是这样,firebase如何防止这种情况发生?
我不禁感到,如果有人可以获取我的id令牌,那么访问刷新令牌也不难。
答案 0 :(得分:2)
与Firebase API的所有通信均通过HTTPS进行,这意味着没有人可以侦听该通信。它是安全的。如果有人同时拥有新鲜的ID令牌和刷新令牌,则在调用Firebase API时可能会冒充您。
但是,除非您犯了安全错误,否则没有人可以获取您的ID令牌或刷新令牌。例如,在登录时让计算机保持解锁状态是一个坏主意。或者,使用容易猜到的密码。使用所有标准的安全预防措施,就不会有问题。