iOS 및 Mac 앱용 백엔드를 개발 중입니다. Firebase AuthUI를 사용하여 Apple 로그인을 설정했습니다. PHP 로그인 시 authToken의 유효성을 검사하고 있습니다. 다른 엔드포인트를 안전하게 보호하는 가장 좋은 방법은 무엇입니까? 모든 요청에서 Firebase의 $authToken을 검증할 수 있나요?
항상 자체 appToken을 사용해야 하는지 아니면 Firebase의 authToken을 사용해야 하는지 궁금합니다.
ID 토큰은 변경이 불가능하고 만료일까지 유효하므로 많은 Firebase용 백엔드는 Firebase에서 얻은 ID 토큰을 디코딩하고 검증한 다음 ID 토큰을 키로 사용하고 디코딩된 토큰을 값으로 사용하여 결과를 캐시합니다. 이를 통해 매번 디코딩할 필요 없이(비용이 더 많이 드는 작업) 디코딩된 ID 토큰이 여전히 유효한지/만료되지 않았는지 모든 호출에서 확인할 수 있습니다.
ID 토큰은 변경이 불가능하고 만료일까지 유효하므로 많은 Firebase용 백엔드는 Firebase에서 얻은 ID 토큰을 디코딩하고 검증한 다음 ID 토큰을 키로 사용하고 디코딩된 토큰을 값으로 사용하여 결과를 캐시합니다. 이를 통해 매번 디코딩할 필요 없이(비용이 더 많이 드는 작업) 디코딩된 ID 토큰이 여전히 유효한지/만료되지 않았는지 모든 호출에서 확인할 수 있습니다.