当创建的 JWT 与已颁发的 ID 令牌几乎相同时,我无法理解为会话 cookie 创建新 JWT 的基本原理。
参考 管理会话 Cookie 文档,建议使用
createSessionCookie getAuth()
.createSessionCookie(idToken, { expiresIn })
.then(
(sessionCookie) => {
// Set cookie policy for session cookie.
const options = { maxAge: expiresIn, httpOnly: true, secure: true };
res.cookie('session', sessionCookie, options);
res.end(JSON.stringify({ status: 'success' }));
},
(error) => {
res.status(401).send('UNAUTHORIZED REQUEST!');
}
);
为什么我不能直接写:
// Set cookie policy for session cookie.
const options = { maxAge: expiresIn, httpOnly: true, secure: true };
res.cookie('session', idToken, options);
res.end(JSON.stringify({ status: 'success' }));
深入挖掘后,我认为 Firebase 创建的会话 cookie 可能具有其他属性,或者可能以某种方式混淆了
idTokenidTokenkidiss来自使用 Firebase Admin SDK 创建自定义令牌的文档:
这些代币一小时后就会过期。
当您使用第三方 JWT 库创建自定义令牌时,稍后会在声明表页面中重申这一点:
因此 Firebase ID 令牌的有效期最多为一小时,绝不会更长。
exp— 到期时间令牌过期的时间(自 UNIX 纪元以来的秒数)。最多可以比iat晚 3600 秒。
将其与
使用会话 cookie 进行身份验证的文档进行比较,其中显示:
创建自定义过期时间从 5 分钟到 2 周不等的会话 Cookie。因此会话cookie的有效时间比ID令牌长得多,这使得它们更适合需要/有用更长有效期的场景。
如果您不(知道是否)有这样的情况,我建议坚持使用 ID 令牌 - 因为这些是 Firebase 最常见的身份验证机制。