gpt4 book ai didi

java - Firebase 在本地存储 access_token

转载 作者:行者123 更新时间:2023-12-05 00:03:31 31 4
gpt4 key购买 nike

我刚刚对 Android Firebase 应用程序进行了渗透测试,测试人员在共享首选项中找到了一个文件 com.google.Firebase.auth.api.xml。它包含 access_token + refresh_token(可用于访问 Firebase API)。

有没有其他人遇到过此漏洞并知道修复它的最佳方法?

(我无法弄清楚或理解为什么将此信息存储在本地,我已经查看了 Firebase 文档和我的应用程序,据我所知,一切都已正确集成。应用程序本身使用Firebase 作为处理登录、身份验证、Firestore 和存储的后端服务器)

如有任何帮助,我们将不胜感激。

最佳答案

与 Firebase 取得联系,这是对任何感兴趣的人的回应:

“我理解您的担忧,正如您所说,该文件用于重新验证用户,但是,这些值是在成功登录后设置的,并且 SDK 每小时更新该文件。您可能已经注意到的漏洞应该与修改与该特定用户相关的信息以及用户有权访问的功能或数据有关。请记住,Firebase 安全性不仅在身份验证产品上,它们是在 Firebase 应用程序中实现安全性的更多工具,即这就是为什么您的安全规则应该避免不安全的规则并与您的业务模型相匹配的原因。”

关于java - Firebase 在本地存储 access_token,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/66214620/

31 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com