Ich entwickle ein Backend für meine iOS- und Mac-Apps. Ich habe Firebase AuthUI verwendet, um die Apple-Anmeldung einzurichten. Ich validiere authToken bei der Anmeldung in PHP. Wie können andere Endpunkte am besten sicher geschützt werden? Ist es möglich, das $authToken von Firebase bei jeder Anfrage zu validieren?
Ich frage mich, ob ich immer mein eigenes appToken oder das authToken von Firebase verwenden soll.
由于ID令牌是不可变的,并且有效期至其到期日期,因此Firebase的许多后端会对从Firebase获得的ID令牌进行解码和验证,然后将结果缓存起来 - 使用(哈希值的)ID令牌作为键,解码后的令牌作为值。这使它们能够在每次调用时检查解码后的ID令牌是否仍然有效/未过期,而无需每次都解码它(这是一项更昂贵的操作)。