-
Czy adres e-mail i token Auth to wszystko, co jest wymagane do uwierzytelnienia użytkownika za pośrednictwem serwera:wystarczy token Auth ID. Możesz otrzymać e-mail z tego. Musisz zweryfikować token ID za każdym razem, gdy jest on wysyłany na Twój serwer. Sprawdź https://firebase.google.com/ docs/auth/admin/verify-id-tokens#verify_id_tokens_using_a_third-party_jwt_library
-
Jeśli token Auth zostanie wysłany do Firebase SDK za pomocą PHP SDK:Jest odwrotnie. Token ID znajduje się po stronie klienta, wywołujesz getIdToken, a następnie wysyłasz go do serwera zaplecza.
-
W jaki sposób poświadczenia powinny być przechowywane w bazie danych MySQL w odniesieniu do bezpieczeństwa:Nie musisz przechowywać poświadczeń w swojej bazie danych. możesz przechowywać informacje o sesji, ale poświadczenia są generowane i odświeżane na kliencie.
- W jaki sposób token Auth wygasa i/lub zostaje odświeżony:Wywołanie user.getIdToken zawsze zwróci nowy token. Jeśli token nie wygasł, zwracany jest zbuforowany. Jeśli wygasła, zostanie odświeżona i zwrócona nowa. Będziesz musiał to wywołać za każdym razem, gdy uwierzytelniony użytkownik wyśle jakieś żądanie.
- W jaki sposób informacje powinny być bezpiecznie przesyłane z klienta Androida do bazy danych MySQL:Zawsze należy wysyłać je z tokenem ID użytkownika. Upewnij się, że używasz protokołu https. Zawsze sprawdzaj token ID na swoim serwerze.
- Jaka jest prawidłowa procedura i strategia aktualizacji tokenów Auth:użyj user.getIdToken()
- Jaka jest prawidłowa strategia synchronizacji dla szczegółów uwierzytelniania, takich jak adres e-mail i tokeny między klientem a serwerem:Tokeny nie muszą być przechowywane na serwerze. Możesz zaufać wiadomości e-mail w tokenie. Możliwe, że adres e-mail użytkownika jest aktualizowany po stronie klienta. Kiedy tak się stanie, e-mail z tokenem również powinien zostać zaktualizowany.
