Ток доступа Firebase с использованием getAuth()

Question

Мне интересно, если функция firebase getAuth() каким-то образом проверяет, была ли ссылка на сайт, на которую был выпущен токен, тот, который запрашивает статус авторизации.

Я обеспокоен тем, что, если вредоносный веб-сайт каким-то образом имел доступ к моей ссылке Firebase.io и запускает простой getAuth() в том же браузере, что и мой бэкэнд-сайт, основанный на Firebase, он сможет получить доступ к токену Firebase пользователю моего веб-сайта.

Любые мысли на это были бы весьма полезными.

Answer 1

Примечание: Я работаю в Firebase

сеансов Firebase аутентификации хранятся с использованием LocalStorage доступны только для вашего домена. Это означает, что сеансы недоступны из доменов вне вашего контроля.

Если вы используете OAuth (Google, Facebook, Twitter, или GitHub Логин), то аутентификация дополнительно ограничивается доменом с помощью нашей конфигурации OAuth в панели управления Firebase, где вы должны явно разрешить домены для доступа.

Пользователи аутентификации по электронной почте/паролю могут аутентифицироваться из любого источника, при условии, что у пользователя есть доступ к паролю. Короче говоря, мы гарантируем, что сеансы, хранящиеся для вашего домена, недоступны в других местах. Наши главные приоритеты для этого продукта - безопасность данных и обеспечение доступности этой безопасности (как разработчика) и по умолчанию.

Если у вас есть дополнительные проблемы, которые чувствительны по какой-либо причине, не стесняйтесь обращаться ко мне rob at firebase.com.