我开始学习JWT,我想知道是否有人同时拥有我的ID令牌和刷新令牌,有人可以无限期地假装成我来访问Firestore或其他Firebase资源(直到刷新令牌被吊销) ?
如果是这样,firebase如何防止这种情况发生?
我不禁感到如果有人可以获取我的ID令牌,那么访问刷新令牌也不难。
与Firebase API的所有通信都是通过HTTPS进行的,这意味着没有人可以收听该通信。它是安全的。如果有人同时拥有新鲜的ID令牌和刷新令牌,则在调用Firebase API时可能会冒充您。
但是,除非您犯了安全错误,否则没有人可以获取您的ID令牌或刷新令牌。例如,在登录时让计算机保持解锁状态是一个坏主意。或者,使用容易猜到的密码。使用所有标准的安全预防措施,您就不会有问题。