Dies funktioniert mit dem Google Plus-Login-Flow, der meiner Meinung nach der einzige ist, der die Cross-Authentifizierung ermöglicht, so dass die Bereiche Google Plus Login sind.
„www [dot] googleapis [dot] com/Auth/plus.login“
Also, was hier passiert ist, ist, dass Sie die access_token von der Verlängerung erhalten, die Sie mit der Bitte an Feuerbasis zu senden verwenden werden authwihtoauthtoken spezifiziert google als Provider zusammen mit dem access_token von chrome.identity.getAuthToken()!
https://www.firebase.com/docs/web/api/firebase/authwithoauthtoken.html
Jetzt ist die Tatsache, dass dieses Zugriffstoken durch eine andere App ausgegeben werden können, so müssen wir sicherstellen, dass es gültig ist, und ist für unsere App ausgestellt wurde, im Grunde müssen wir dort isn wissen 't Mann in der Mitte versucht, auf unsere Datenbank zuzugreifen.
Diese Überprüfung wird von der Firebase vorgenommen.
Sie prüfen, ob dieser Token zu derselben Anwendung gehört, für die der Token ausgestellt wurde.
Sie müssen also einen anderen Satz von Anmeldeinformationen unter der gleichen Anwendung in der Google Developers Console wie für Ihre Erweiterung erstellen. Wir werden im Prinzip dasselbe tun, als ob wir es für unsere Webseite tun würden, aber wir werden diese neuen Anmeldeinformationen in die Sicherheitsabteilung von Firebase goal oAuth einfügen.
Sie werden diese Überprüfung für uns dort tun. Sie überprüfen mit Google, ob das Token an dieselbe App gesendet wird.
Das ist es.
Hintergrundinformationen.
https://developers.google.com/identity/protocols/OAuth2UserAgent#validatetoken
Use Case
mit Anfragen senden ID-Token, die authentifiziert werden müssen. Wenn Sie beispielsweise Daten an Ihren Server senden müssen und sicherstellen möchten, dass bestimmte Daten von einem bestimmten Benutzer stammen.
Wann der Zugriff zu überprüfen ist Alle Token müssen auf Ihrem Server verifiziert werden, es sei denn, Sie wissen, dass sie direkt von Google stammen. Alle Token, die Sie von Ihren Client-Apps erhalten, müssen überprüft werden.
Google hat ein Tutorial, wie dies bei gefunden für Python tun:
"Github [dot] com/google/GPlus-verifytoken-Python"
Also im Grunde, was hier passiert ist; Anstatt dies auf Ihrem Server zu tun, führt Firebase diese Überprüfung für Sie durch, wenn Sie die CLIENT_ID und APP_SECRET in die Firebase eingeben und die Google-Authentifizierung aktivieren.
Der Weg, dies richtig zu tun, ist eine Kombination oder der gleiche Stil der Überprüfung, wem die client_secret ausgestellt wurde. Chrome wird dir ein access_token geben und dann wird dieses access_token im Backend der Firebase überprüft.
Ingenieur bei Firebase hier. Da Chrome-Erweiterungen eine umfassendere Änderung von HTTP-Anforderungen ermöglichen, ist es möglicherweise nicht die sichere Lösung, einen anderen Referrer zu konfigurieren. Wenn Sie eine Chance haben, würde ich gerne etwas mehr über Ihren Anwendungsfall erfahren und welche Art von Authentifizierung Sie in Ihrer Erweiterung verwenden möchten - senden Sie mir eine E-Mail an [email protected] –
Werde dir Leute darüber schreiben. Ich habe ein langes Blatt Notizen, die ich gemacht habe, während ich daran gearbeitet habe. Gegenwärtig hat das System Code für 3 verschiedene Plattformen und wird sich auf ungefähr 12 Plattformen erstrecken. Ich denke, ihr findet es vielleicht interessant. –