-
Is het e-mailadres en de Auth-token alles wat nodig is om een gebruiker via de server te authenticeren:u hebt alleen de Auth ID-token nodig. U kunt de e-mail daaruit halen. U moet het ID-token elke keer dat het naar uw server wordt verzonden, verifiëren. Controleer https://firebase.google.com/ docs/auth/admin/verify-id-tokens#verify_id_tokens_using_a_third-party_jwt_library
-
Mocht het Auth-token naar Firebase SDK worden verzonden met behulp van de PHP SDK:het is andersom. Het ID-token bevindt zich aan de clientzijde, u roept getIdToken aan en stuurt het vervolgens naar uw backend-server.
-
Hoe moeten referenties worden opgeslagen in de MySQL DB met betrekking tot beveiliging:U hoeft geen referenties op te slaan in uw DB. u kunt sessie-informatie opslaan, maar de inloggegevens worden gegenereerd en vernieuwd op de client.
- Hoe verloopt de Auth-token en/of wordt deze vernieuwd:Als u user.getIdToken aanroept, wordt er altijd een nieuwe token geretourneerd. Als de token niet is verlopen, wordt de in de cache opgeslagen token geretourneerd. Als deze is verlopen, wordt deze vernieuwd en een nieuwe geretourneerd. U moet dit elke keer bellen als een geverifieerde gebruiker een verzoek verzendt.
- Hoe moet informatie veilig van de Android-client naar de MySQL-database worden verzonden:u moet deze altijd met het ID-token van de gebruiker verzenden. Zorg ervoor dat u het https-protocol gebruikt. Verifieer altijd het ID-token op uw server.
- Wat is de juiste procedure en strategie voor het bijwerken van Auth-tokens:gebruik user.getIdToken()
- Wat is de juiste synchronisatiestrategie voor verificatiegegevens, zoals e-mailadres en tokens tussen client en server:Tokens hoeven niet op uw server te worden opgeslagen. U kunt de e-mail in het token vertrouwen. Het is mogelijk dat de e-mail van een gebruiker aan de clientzijde wordt bijgewerkt. Als dat gebeurt, moet de token-e-mail ook worden bijgewerkt.