- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在阅读文档,但我找不到 SDK 如何在设备上保留刷新 token ,以便在应用程序被终止时能够保持用户身份验证。
我想知道的是:
最佳答案
在创建了一个集成 Firebase Auth 的小型演示应用程序并对其进行检查后,我想我找到了我想要的东西:
SharedPreferences
SharedPreferences
缓存与经过身份验证的 Firebase 用户相关的所有信息。
SharedPreferences
中的数据对象被写入应用程序内部存储目录中的纯文本 XML 文件。该文件可以在以下位置找到:
/data/data/{app_package_name}/shared_prefs/com.google.firebase.auth.api.Store.{hash}.xml
该文件包含两个键值对,它们都包含刷新 token :
com.google.firebase.auth.FIREBASE_USER
: {
"cachedTokenState": "{\"refresh_token\":\"AIwUa...\",\"expires_in\":3600,\"token_type\":\"Bearer\",\"issued_at\":1651836746042}",
"applicationName": "[DEFAULT]",
"type": "com.google.firebase.auth.internal.DefaultFirebaseUser",
"userInfos": [
"{\"userId\":\"sDa2XJk...\",\"providerId\":\"firebase\",\"email\":\"user@email.com\",\"isEmailVerified\":false}",
"{\"userId\":\"user@email.com\",\"providerId\":\"password\",\"email\":\"user@email.com\",\"isEmailVerified\":false}"
],
"anonymous": false,
"version": "2",
"userMetadata": {
"lastSignInTimestamp": 1651836746972,
"creationTimestamp": 1651579404681
}
}
com.google.firebase.auth.GET_TOKEN_RESPONSE.{hash}
: {
"refresh_token": "AIwUa...",
"access_token": "eyJhb...",
"expires_in": 3600,
"token_type": "Bearer",
"issued_at": 1651836746042
}
安全隐患:
SharedPreferences
所在目录文件存储在非 root 设备中的其他应用程序无法访问,并且在 Android 10 或更高版本的设备中已加密(因为基于文件的加密现在是强制性的)。
SharedPreferences
存储刷新 token 的 XML 文件。 adb backup
创建备份时, 加密备份文件是可选的。如果备份未加密并且恶意行为者获得了对备份文件的访问权限,他可以从中提取刷新 token 。 SharedPreferences
从备份文件。 MSTG-STORAGE-1
rule :
System credential storage facilities need to be used to store sensitive data, such as PII, user credentials or cryptographic keys.
As for the named SharedPreferences file,
com.google.firebase.auth.api.Store.{code}.xml
, that is, indeed, where we persist user state. When the application goes into the background or is closed, the currently logged-in user needs to be stored somewhere, and SharedPreferences is a safe place to do so - it has private filesystem permissions, meaning that only that application (or a process with root permissions) can read it. As such, encryption isn't necessary. In general, Firebase only makes security guarantees about unrooted, non-userdebug devices; the security properties of rooted or userdebug devices are significantly degraded in ways that we cannot properly account for.Still, the question remains, why don't we encrypt things in storage? The answer is pretty simple: it provides no additional security (other than security-by-obscurity) and has both a performance and complexity penalty. For example, a root user can also access the Android Keystore as the target application, meaning that they can still read the SharedPreferences, they just have to read and use the appropriate key first.
关于android - Firebase Authentication Android SDK 如何保留刷新 token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/72140231/
我正在细读 http://www.khronos.org/网站,只找到了 OpenCL 的头文件(不是我不关心的 OpenGL)。如何获取 OpenCL SDK? 最佳答案 AMD 的 ATI Str
Android 项目中最低(最低 sdk)和最高(目标 sdk)级别是否有任何影响。这些东西是否会影响项目的可靠性和效率。 最佳答案 没有影响,如果您以 SDK 级别 8 为目标,那么您的应用将以 9
“min sdk version/target sdk version”和“compile sdk version”有什么区别?我知道 min 和 target sdk 是什么意思,但是 compil
我正在尝试运行 Dji Mobile-Sdk-Android:https://github.com/dji-sdk/Mobile-SDK-Android使用 dji 网站上的说明:https://de
我目前正在向我的 iPhone 应用程序添加新的 Facebook iOS sdk 3.1.1。我看到 sdk 有重大变化。例如。我的旧 sdk 创建一个 Facebook 对象并从 FBReques
我最近刚刚下载了 Xcode 4.6 with mac 10.8.4 with iOS 6.0 SDK package,我立即注意到我无法使用我的 iPhone 3Gs with iOS 4.6 进行
我尝试下载 OpenCL SDK。但是没办法。我有一个 AMD GPU,所以我在谷歌上搜索了 AMD SDK,但是来自谷歌的所有链接和一些教程都被破坏了,不可能通过 AMD 开发者网站找到 sdk。
安装 Google Cloud SDK 后,当我运行时 gcloud 授权登录 我收到一条错误消息: Your browser has been opened to visit: https://a
我一直在 nvidia 网站上搜索 GPU 计算 SDK,因为我正在尝试构建具有 cuda 支持的点云库 (PCL)。但是,在 nvidia 网站上,我只能找到工具包的链接,而不是 SDK 的单个下载
Closed. This question needs to be more focused。它当前不接受答案。 想改善这个问题吗?更新问题,使其仅关注editing this post一个问题。 2
当我打开 Android SDK 管理器时,会出现一个屏幕“选择要安装的包”。它列出了一堆带有绿色复选标记(已经安装)的软件包,还有一些带有 x's 的软件包,它们没有安装。如果我选择“全部接受”,它
在开发过程中,我发布了 SDK 21 Lollipop,但我无法在我的 KitKat 设备上使用它。应用程序非常简单,我只将 SDK 用于动画和 Material 设计,但是当我尝试对 Play 商店
enter image description here friend 们好 在使用 Linux、jenkins 和 docker 探索 dotnet 核心时,我遇到了构建问题,该问题在标题“/usr
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
我创建了一个flutter项目,运行flutter packages get,输出如下:【二】flutter包搞定等待另一个 flutter 命令释放启动锁...第二次运行“flutter packa
这个问题在这里已经有了答案: What are the Android SDK build-tools, platform-tools and tools? And which version sh
我使用 Corona SDK 已经快一年了,并且开发了几个简单的游戏。我现在正在寻找的是在 Corona SDK 中创建 3D 幻觉的某种方法。如果有人有 Corona 3D 方面的经验,我将不胜感激
我有一个CLDC 1.1 / MIDP 2.0项目,可以使用Java ME SDK 3.2很好地进行编译。 最近,我已将Java SE升级到8,结果Java ME SDK开始在Windows启动时显示
有没有办法以编程方式控制连接到华擎主板的 RGB 照明?我知道华硕有一个 Aura SDK,但华擎是否也有一个用于他们的硬件? 如果是,我在哪里可以找到它? 最佳答案 没有用于华擎多彩的 sdk。但是
如何使用 crm 2011 sdk 和 XrmServiceContext 创建事务? 在下一个示例中,'new_brand' 是一些自定义实体。我想创建三个品牌。第三个拥有错误的 OwnerID g
我是一名优秀的程序员,十分优秀!