我正在使用 Firebase 身份验证构建 Flutter 应用。我试图找到一种方法来确保到达我后端的通信实际上来自我编写并上传到商店的应用程序。我认为我可以使用作为此任务的 firebase 登录结果提供的 JWT,以确保只能从我的应用程序内进行登录。
我发现电子邮件和密码方法中的某些标志可以从其适用的应用程序外部登录。但是,由于谷歌和手机登录要求 SHA-1 密钥为 registered to the firebase project,我想知道是否可以通过限制登录这些方法来确保只有受信任的应用程序才能生成有效的 JWT 并与我的后端通信.
我对安全知之甚少,因此非常感谢您提供任何提示。