gpt4 book ai didi

Firebase 刷新 token 过期

转载 作者:行者123 更新时间:2023-12-01 09:37:20 43 4
gpt4 key购买 nike

在使用 Firebase 的 REST API 测试我们的一个产品(Web 应用程序)的安全性时,我们惊讶地发现 刷新 token 永不过期 在 Firebase 实现的 V3 中,允许任何刷新 token 到 永远创建新的代币 .

虽然本地存储在今天看来是一个相当安全的解决方案,但我们担心 的可能性。明天可能会失败 ,即使是很短的时间,而且我们无法阻止某人使用任何这些刷新 token 。

两因素身份验证将有助于缓解该问题,但第一步将受到损害。

有没有办法使用 Firebase 将 token 或类似行为列入黑名单,而无需我们自己处理所有 token 交换,例如类型转换? 我们在浏览文档时找不到这样的功能。

任何建议表示赞赏。

最佳答案

身份验证 session 不会随着 Firebase 登录而过期。但是 ID token 必须每小时刷新一次,以保持对服务的访问。如果您禁用某个帐户,则刷新 token 将失败并且该帐户将无法再访问服务。无法使单个 token 无效。

关于Firebase 刷新 token 过期,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44070903/

43 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com