个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在构建一个同构 React 应用程序,它使用 Express 来处理服务器请求。
在客户端运行捆绑的 React 应用程序时,我的 Firebase 登录流程运行良好:
ref.getAuth()成功返回用户的auth对象ref.getAuth() 的后续调用也会返回成功的身份验证对象。但是,即使在客户端成功登录后,硬刷新(来自服务器)也不会持续。在服务器上下文中使用相同的 React 组件,ref.getAuth() 返回 null。
我是否缺少一个步骤,使其在服务器上的工作方式与在客户端上的工作方式相同(用例是网站的硬刷新)?
最佳答案
如果您在同构/通用渲染过程中连接到服务器上的 Firebase(我假设您是这样),则 Firebase 无法知道哪个用户向您的服务器发起了请求,然后又向您的服务器发出了请求Firebase - 在客户端上,用户的 Cookie 可以一起发送到 Firebase,但在服务器上发起请求的是您的服务器,而不是客户端,因此不与任何给定用户关联。
我的第一个想法是,为了从服务器发送身份验证,您需要在自己的服务器上进行某种登录;一旦您验证(使用 Firebase 或其他方式)用户确实是他们所说的人,您就可以 generate a token您可以(安全地)保存在用户 session 中,也可以发送回客户端。然后,在客户端上,和在每个服务器请求上,在使用 React.render* 渲染 React 应用程序之前,您将调用 authWithCustomToken() 使用该用户的 token 。
但是,需要注意的是,对 Firebase 数据库的身份验证是全局的 - 当您对 Firebase 引用进行身份验证时(即使在 Node.js 中),指向同一数据库的每个其他引用都会使用这些凭据进行身份验证;您无法使用单独的引用以不同的用户身份登录。因此,如果服务器上的 React 渲染管道在调用 auth 回调和渲染应用程序之间执行任何异步操作(例如,如果您使用类似 react-async 的内容或在渲染之前执行其他奇特的异步数据加载),则用户在您渲染应用程序时,针对您的 Firebase 进行的身份验证可能已更改。但是,如果您的渲染管道是纯粹同步的,您应该能够摆脱此策略(getAuth() 可以帮助确保您在渲染之前拥有正确的身份验证)。
除此之外,我认为最直接的解决方案如下:
通过您自己的服务器对您的用户进行身份验证,创建 secure token并将其传回客户端以进行身份验证。将此 token 存储在用户的 session 中,以便客户端可以请求它并根据需要在客户端上使用它进行身份验证。您还需要生成自己的身份验证数据(通常传递给 authWithPassword 回调的内容)并将其存储在 session 中。
对于向 Firebase 发出的服务器请求,请使用 the recommended server authentication schemes 之一:
Using a Firebase app secret: All authentication methods can accept a Firebase app secret instead of a JWT token. This will grant the server complete read and write access to the entire Firebase database. This access will never expire unless it is revoked via the App Dashboard.
Using a secure JWT with the optional
adminclaim set totrue: This method will grant a server complete read and write access to the entire Firebase database. This token will expire normally, so it is important to set the expiration times accordingly.Using a secure JWT designed to give access to only the pieces of data a server needs to touch: This method is more complicated, but it is the safest way to authenticate a server as it lets the Security and Firebase Rules prevent the server from doing anything it's not supposed to, even if it becomes compromised in some way.
包含服务器逻辑以确保当前登录的用户只能访问适当的数据。由于上述身份验证方法将授予对用户可能有权或无权访问的数据的访问权限,因此您需要采取自己的步骤来确保用户不会意外访问他们有权访问的内容。不应该。
将您在第一步中存储在 session 中的身份验证数据作为属性传递给 React 应用程序,而不是依赖诸如 ref.getAuth() 之类的东西来获取这些数据您的 React 应用程序(因为它无法在服务器上运行),以识别 UI 中的用户。
关于reactjs - Firebase 身份验证状态在客户端上保留,但在硬刷新时不保留,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32027369/
25
4
0
仅使用POSIX shell 的特性,是否有一个“简单命令”,它什么也不做,也不改变$? 的值。人们通常描述:作为 shell 的无操作命令,但这总是设置 $?为零,所以这不是我想要的。 这是生成 s
我需要保留当前的 GlBlendFunc 以便在我做一些工作后可以恢复它。似乎这不是可以用 GLPushAttrib 保存的属性之一,还有其他类似的方法可以用来保存状态吗? 最佳答案 glGet与
我目前正致力于创建 Fuseki 三重存储浏览器的项目。我需要可视化 TripleStore 中的所有数据并使应用程序可浏览。唯一的问题是 QuerySolution 遗漏了三元组中的“”。 如果我使
我知道没有必要保留委托(delegate),以避免保留循环。我在一次采访中碰巧遇到了一个问题,“如果保留了 appDelegate 会怎样?”。我对此没有答案,并根据我的知识在这里寻求答案。谢谢 最佳
我正在用 C 编写第一个更严肃的程序,但我陷入了困境。我需要将此列表排序为不同的单独文件,因此它看起来像这样: BE30B Berlin 2014-04-02 Gale 02 BE30B Berlin
我有 4 个页面,我使用 ajax 和 historyPopState 在它们之间进行更改。但是有一个问题,因为页面非常不同,它们使用不同的样式表和脚本。我可以一遍又一遍地下载它们,但我想问一下是否有
我有一个表单,其中包含从一个表创建的多行(与其他表没有关系)。当我保存表单时,我所做的每项更改都会保存,但数据库中确实有一个额外的空行。请参阅下文(希望)了解所有必要的信息。 PropertyAddi
我正在编写一个可以在 Canvas 上绘制气泡的应用程序。我有 MainActivity,它的布局是一个简单的 LinearLayout,我将其用作 fragment 的容器。当我在 Canvas 上
我想弄清楚为什么我通过这段代码得到 EXC_BAD_ACESS。我没有线索。谁能帮帮我。 - (void)loadJsonFile:(NSString*)fileName { NSError
我正在编写一个代码,它将遍历单词中的每个单词,在字典中查找它们,然后将字典值附加到计数器。但是,如果我打印计数器,我只会从我的 if 语句中获取最后一个数字(如果有的话)。如果我将 print cou
抱歉,标题有点困惑。 我想隐藏这些选择选项,只在用户选择按钮时显示。一旦用户选择了一个按钮,我希望选择字段将继续显示......但是如果用户选择了不同的按钮,我想从以前的选择中重置所选的选项并炫耀。
>>> t = "first%s\n" >>> t = t %("second") >>> print t firstsecond 无论如何我可以保留最后的“\n”并得到“firstsecond\n”
我试图弄清楚如何更改 if 语句中的变量并使其保持全局不变。 用户输入:!change Hi var A = "Hello" if (msg.content.includes ('!change'))
您好,我有一个关于在重新创建 Activity 时保留 fragment 的问题。我听说一种方法是在 onCreate 方法中使用 setRetainFragment(true) 。问题是——这与跟踪
我想知道是否有人可以帮助我解决下面代码中的内存管理问题。我对 rootController 特别感兴趣,它是在我执行 initWithRootViewController 时被保留还是在窗口 addS
我想确保我在这里正确理解了内存管理。是否有任何特殊原因在这里使用其中一种 assignCurrentDate 方法而不是另一种方法?此外,所有这些都不会导致内存泄漏,对吗? 在 .h 中我们有: NS
我对 Angular2 删除尾部斜杠有疑问。我已经设置了我的 dotnet 核心应用程序来添加它们,但是一旦加载了 js,它们就会被删除。 在 Angular2 中甚至可能吗? (我的客户需要它,所以
local_settings.py 反模式的原因之一是把 SECRET_KEY, AWS设置文件中的键等值有问题: secret 通常应该是这样的: secret !将它们保存在版本控制中意味着拥有存
import('./A'); import('./B'); import('./C'); export class Person {}; A、B 和 C 是纯 JS (es5) 库,它们使用全局 wi
df 是一个测试数据框,其中我只想保留 Hits 列中包含 | 字符的行和行其中包含 hits(即 Hit1、Hit2 等)以及 Hits 列中的空白单元格。 df 从开始 (^) 到结束 ($)
我是一名优秀的程序员,十分优秀!