Firebase: как проверить сессию на стороне клиента с помощью PHP-скрипта на стороне сервера

Question

Firebase: как проверить сессию на стороне клиента с помощью PHP-скрипта на стороне сервера

1

Я аутентифицирую клиентскую часть через Firebase SDK пользователей в своем приложении. Затем начинается сеанс клиента. Затем я хочу, чтобы пользователь мог опубликовать на конечных точках PHP некоторые данные. Я хочу, чтобы скрипт PHP проверял, поступает ли запрос от аутентифицированного пользователя, а затем проверяет остальную часть данных. Если все в порядке, мы завершаем операцию.

Я решил сделать это вот так:

Пользователь аутентифицирован на стороне клиента
В событии Auth запрос на токен JWT с идентификатором пользователя в нем выдается на стороне клиента через ajax на выделенный PHP-скрипт. Как только маркер генерируется, он сохраняется в cookie сеанса.
В представлении формы будет помещен токен JWT, и конечная точка будет декодировать токен и проверить, является ли сохраненный в нем uid действительным идентификатором пользователя, зарегистрированным в базе данных Firebase.

Хорошая или страшная идея с точки зрения безопасности?

S.Magnaschi 08 окт. 2015, в 18:13

Источник

0

Если вы используете uid из аутентификации Firebase в качестве идентификатора пользователя, вы можете просто использовать JWT, связанный с сеансом Firebase, вместо того, чтобы создавать его самостоятельно.
Anid Monsur 08 окт. 2015, в 22:57
0

Правда, но, безусловно, я что-то упускаю: как я могу использовать токен, чтобы убедиться, что у пользователя есть активный сеанс. Я расшифровал токен, и в нем есть только поля uid и iat. Итак, я знаю, что он был выпущен в определенное время, но как я могу быть уверен, что он действителен? Есть ли такой метод для применения на стороне сервера через интерфейс REST?
S.Magnaschi 09 окт. 2015, в 08:34
0

Зависит от вашего определения активного сеанса. Сам JWT будет действителен в течение периода времени, указанного на странице входа и авторизации вашего экземпляра Firebase. Вы можете проверить это, используя их REST API для попытки чтения / записи, которую может выполнить только аутентифицированный пользователь.
Anid Monsur 09 окт. 2015, в 08:46

Показать ещё 1 комментарий

Теги:

php

firebase

firebase-security

session

firebase-authentication

1 ответ

Ещё вопросы

Если вы используете uid из аутентификации Firebase в качестве идентификатора пользователя, вы можете просто использовать JWT, связанный с сеансом Firebase, вместо того, чтобы создавать его самостоятельно.
Правда, но, безусловно, я что-то упускаю: как я могу использовать токен, чтобы убедиться, что у пользователя есть активный сеанс. Я расшифровал токен, и в нем есть только поля uid и iat. Итак, я знаю, что он был выпущен в определенное время, но как я могу быть уверен, что он действителен? Есть ли такой метод для применения на стороне сервера через интерфейс REST?
Зависит от вашего определения активного сеанса. Сам JWT будет действителен в течение периода времени, указанного на странице входа и авторизации вашего экземпляра Firebase. Вы можете проверить это, используя их REST API для попытки чтения / записи, которую может выполнить только аутентифицированный пользователь.

jwngr · Answer 1 · 2015-10-09T22-53-00.000Z

Первое эмпирическое правило заключается в том, что для проверки созданного Firebase JWT вам нужен секрет вашей Firebase. Второе правило заключается в том, что ваш секрет Firebase никогда не должен отправляться или храниться на клиенте.

Учитывая, что для проверки JWT через PHP вам нужно будет использовать библиотеку, которая ее расшифровывает и проверяет, что она была подписана вашим секретом Firebase. Как только вы это подтвердите, я посмотрю на UID JWT и посмотрю, соответствует ли он uid пользователю, которому принадлежит ресурс.