如何通过管理员SDK退出用户? (使auth === null)
撤消用户ID令牌时,应将信息传递给客户端,以执行reauthentication或user signOut()等操作。
在客户端我们可以调用FirebaseAuth.DefaultInstance.SignOut。我们如何使用admin SDK实现相同的效果?
有没有办法通过管理SDK注销用户? (使auth === null)。
“黑客”可能会改变客户端代码并阻止应用程序注销或重新进行身份验证。我知道我可以检查令牌是否已使用管理员SDK和firebase规则撤销,但只有在auth为空时才更容易检查。或者我的想法是错误的,因为“黑客”获得了一次ID令牌,并且即使在客户端应用程序名为FirebaseAuth.DefaultInstance.SignOut之后,仍然可以使用这些凭据发送请求?
回答如下:有没有办法通过管理SDK注销用户?
Admin SDK提供了一种撤消用户刷新令牌的方法。这不会立即签出用户,因为用户有一个不可撤销的ID令牌,该令牌有效一小时。
如果要立即使后端资源对您撤消其令牌的客户端不可用,则可以在撤消令牌时将其状态写入数据库,然后从安全规则中访问该状态。没有更简单的方法可以立即阻止它们。另请参阅Five tips to secure your app,其中涵盖了此主题和安全主题。
“黑客”可能会改变客户端代码并阻止应用程序注销或重新进行身份验证
客户端的身份验证状态基于ID令牌,该令牌在创建后的一小时内有效。客户端无法扩展令牌。要获取新的ID令牌,它必须调用身份验证服务器,该服务器在刷新令牌被撤销后将失败。
在客户端上签署用户会使该客户端忘记该用户的令牌。 ID令牌仍然有效,但没有人会知道它。请记住:应用程序和服务器之间的所有流量都是通过(端到端加密的)HTTPS连接发送的。这意味着只有在某人能够解密此流量时才能进行中间人攻击,这需要他们可以访问证书。有关Does https prevent man in the middle attacks by proxy server?的更好解释,请参阅。
如何通过管理员SDK退出用户? (使auth === null)
撤消用户ID令牌时,应将信息传递给客户端,以执行reauthentication或user signOut()等操作。
在客户端我们可以调用FirebaseAuth.DefaultInstance.SignOut。我们如何使用admin SDK实现相同的效果?
有没有办法通过管理SDK注销用户? (使auth === null)。
“黑客”可能会改变客户端代码并阻止应用程序注销或重新进行身份验证。我知道我可以检查令牌是否已使用管理员SDK和firebase规则撤销,但只有在auth为空时才更容易检查。或者我的想法是错误的,因为“黑客”获得了一次ID令牌,并且即使在客户端应用程序名为FirebaseAuth.DefaultInstance.SignOut之后,仍然可以使用这些凭据发送请求?
回答如下:有没有办法通过管理SDK注销用户?
Admin SDK提供了一种撤消用户刷新令牌的方法。这不会立即签出用户,因为用户有一个不可撤销的ID令牌,该令牌有效一小时。
如果要立即使后端资源对您撤消其令牌的客户端不可用,则可以在撤消令牌时将其状态写入数据库,然后从安全规则中访问该状态。没有更简单的方法可以立即阻止它们。另请参阅Five tips to secure your app,其中涵盖了此主题和安全主题。
“黑客”可能会改变客户端代码并阻止应用程序注销或重新进行身份验证
客户端的身份验证状态基于ID令牌,该令牌在创建后的一小时内有效。客户端无法扩展令牌。要获取新的ID令牌,它必须调用身份验证服务器,该服务器在刷新令牌被撤销后将失败。
在客户端上签署用户会使该客户端忘记该用户的令牌。 ID令牌仍然有效,但没有人会知道它。请记住:应用程序和服务器之间的所有流量都是通过(端到端加密的)HTTPS连接发送的。这意味着只有在某人能够解密此流量时才能进行中间人攻击,这需要他们可以访问证书。有关Does https prevent man in the middle attacks by proxy server?的更好解释,请参阅。