根据我看到的文档,似乎不建议使用用户 idToken 对来自移动设备的 API 调用进行身份验证。对于这种情况,accessToken 更合适。 (来源:ID 令牌切勿用于获取对 API 的直接访问权限)
但是在我的架构中,我有:
数据库
Firebase 对用户进行身份验证
移动应用程序
还有一组 Cloud Functions,充当我的 API
所以我可以在前端/移动端进行操作:
使用refreshToken生成accessToken(来自firebase身份验证)
使用此 accessToken 调用 Cloud Functions
但是,我没有找到任何内容来验证 accessToken 服务器端(我只找到如何验证 idToken )。
在理想世界中它应该如何运作?
谢谢
使用 idToken 在我的 API 上验证我的用户(移动应用程序),但我想遵循所有最佳实践。
根据我看到的文档,似乎不建议使用用户 idToken 对来自移动设备的 API 调用进行身份验证。
当您使用 Firebase 身份验证时,您没有使用那些所谓的“访问令牌”。 Firebase没有这样的概念。您只需使用所需的“ID 令牌”,以便可以在后端验证调用。欲了解更多信息,请查看下面的链接”