我正在使用firebase mobile otp身份验证。成功验证后,我的Android应用程序收到一个令牌,我必须在我的django服务器上验证。但是当我阅读验证此令牌的文档时,如果有人知道我的firebase项目ID,他们可以随时生成有效的令牌。
要获得上下文,请查看link上验证firebase令牌的最后一种方法
这不是很冒险,因为一旦你的firebase项目ID被某人知道,他们可以创建假令牌吗?
自定义身份验证令牌也有助于克服此问题吗?
谢谢。如果我错误地理解了firebase令牌验证,请告诉我,一旦我们知道firebase项目ID,就无法创建假令牌。
ID令牌由Firebase Auth拥有的私钥签名。他们不能伪造。请注意,您引用的文档还指出:
最后,确保ID令牌由与令牌的孩子声明相对应的私钥签名。从https://www.googleapis.com/robot/v1/metadata/x509/[email protected]获取公钥并使用JWT库来验证签名。
伪造的ID令牌不会通过签名检查。