Kann ich die Benutzerauthentifizierung mit Firebase durchführen, aber dann die Authentifizierungsinformationen sicher an den Server weiterleiten?

Question

In meiner Android-App authentifiziere ich Benutzer mit Firebase. Ich brauche dann meinen Server, um zu wissen, welcher Benutzer angemeldet ist, um Berechtigungen zu bearbeiten. Ich bin mit HTTPS nicht sehr vertraut, aber kann ich einfach die Benutzer-ID des authentifizierten Benutzers als POST-Parameter oder in einem Cookie an den Server senden, und das ist sicher?

Answer 1

So authentifizieren Sie einen Benutzer in Ihrer Android App und dieser Benutzer sendet eine Anfrage an Ihren Server und Sie müssen den Authentifizierungsstatus und die Identität des Benutzers bestätigen.

Sie müssen das Firebase ID Token erhalten. Verwenden Sie currentUser.getIdToken. Dadurch erhalten Sie das Firebase-ID-Token. Sie können das dann auf Ihrem Server veröffentlichen. Es wird empfohlen, dass Sie eine https-Verbindung verwenden. Außerdem ist es besser, das ID-Token im Post-Body oder Header der Anfrage zu übergeben. Auf dem Server müssen Sie die ID-Token validieren: https://firebase.google.com/docs/auth/admin/verify-id-tokens#verify_id_tokens_using_a_third-party_jwt_library

Sobald Sie die ID-Token und seine Nutzlast zu validieren, können Sie ihren Inhalt analysieren und die Benutzer-ID zu erhalten, sub Feld, den authentifizierten Benutzer zu identifizieren, der die Anforderung gesendet .