标签: firebase firebase-authentication
我正在使用Firebase和MongoDB构建一个应用程序。当我使用云功能创建用户时,我想在Firebase Auth自定义声明中添加JWT刷新令牌。安全吗?
答案 0 :(得分:1)
我不确定100%,但是我认为那不是安全的。实际上,您将向Firebase的auth JWT添加刷新JWT。重要的是,JWT已编码,但未加密。如果您的Firebase身份验证令牌以某种方式被劫持,则可以对其进行简单解码,并显示刷新JWT。我认为公开的刷新令牌可以用于检索新的合法令牌。