-
L'e-mail e il token Auth sono tutto ciò che serve per Auth un utente tramite il server:hai solo bisogno del token Auth ID. Puoi ricevere l'e-mail da quello. Devi verificare il token ID ogni volta che viene inviato al tuo server. Controlla https://firebase.google.com/ docs/auth/admin/verify-id-tokens#verify_id_tokens_using_a_third-party_jwt_library
-
Se il token Auth viene inviato a Firebase SDK utilizzando l'SDK PHP:è il contrario. Il token ID è sul lato client, chiami getIdToken e poi lo invii al tuo server back-end.
-
Come devono essere archiviate le credenziali nel database MySQL per quanto riguarda la sicurezza:non è necessario archiviare le credenziali nel database. puoi memorizzare le informazioni sulla sessione, ma le credenziali vengono generate e aggiornate sul client.
- In che modo il token Auth scade e/o viene aggiornato:la chiamata a user.getIdToken restituirà sempre un nuovo token. Se il token non è scaduto, viene restituito quello memorizzato nella cache. Se scaduto, verrà aggiornato e ne verrà restituito uno nuovo. Dovrai chiamarlo ogni volta che un utente autenticato invia una richiesta.
- Come devono essere inviate le informazioni in modo sicuro dal client Android al database MySQL:dovresti sempre inviarle con il token ID dell'utente. Assicurati di utilizzare il protocollo https. Verifica sempre il token ID sul tuo server.
- Qual è la procedura e la strategia corrette per aggiornare i token Auth:usa user.getIdToken()
- Qual è la strategia di sincronizzazione corretta per i dettagli di Auth, come l'indirizzo e-mail e i token tra client e server:i token non devono essere archiviati sul tuo server. Puoi fidarti dell'e-mail nel token. È possibile che l'e-mail di un utente venga aggiornata sul lato client. Quando ciò accade, anche l'e-mail del token dovrebbe essere aggiornata.
