1. дома
  2. Вопрос и ответ
  3. Являются ли токены auth доступными для просмотра?

Являются ли токены auth доступными для просмотра?

2015-01-22 2 views
0

Я как бы новичок в защите firebase и веб-разработке в целом, но я создаю JWT на серверной стороне моего приложения Rails. Однако, чтобы передать их firebase, кажется, я должен передать маркер (который хранится в таблице пользователей в БД) в представлении с этим Javascript код:Являются ли токены auth доступными для просмотра?

var ref = new Firebase('https://mysite.firebaseio.com/'); 
ref.auth('<%= @user.auth_token %>');

Это, как предполагается, что вы обрабатывать токены? Я думал, что это может победить точку, так как токены auth затем отображаются пользователям из источника страницы.

источник

2015-01-22 Steve

+0

Я упомянул о способах обеспечения данных о бомбе и способе обработки токена доступа, насколько я знаю, как это было реализовано в одном из моих приложений, в нижнем ответе. Просьба указать любой указатель, с которым вы столкнулись бы. – akhilesh1988

ответ

0

auth token также можно просмотреть у Firebase REST APIs, поясненного here.

Значение параметра auth также доступно, если кто-то отслеживает http-пакеты каким-то образом, например, используя wirehark, но я предполагаю, что так оно и должно использоваться. JWTauth токен - это просто строка.

Но эти JWTs могут быть сгенерированы с определенным сроком годности с использованием Token Generation Libraries, по истечении 24 часов.

Ссылка

По умолчанию маркеры аутентификации истекает через 24 часа после того, как они будут выпущены и клиент автоматически будет неаутентифицированным в то время. Мы можем переопределить это, изменив параметр «Длительность сеанса» на вкладке «Вход» & Auth на панели мониторинга Firebase или индивидуально при создании токена, указав конкретную дату истечения срока действия. Подробнее см. В документах для конкретной библиотеки генераторов токенов, которые вы используете.

Также firebase предоставляет способы указания Определенно Rules для доступа к данным в firebase. See Here

Также он обеспечивает Data Validation, чтобы данные были согласованы. See Here

источник

2015-01-22 19:48:22 akhilesh1988

2

Срок авторизации маркер Firebase используется для идентичности, но не для разрешения. Последний определяется вашим Firebase Security Rules, который будет использовать текущее (и будущее, если записывать) состояние данных в сочетании с идентификатором, представленным в токене аутентификации, для определения того, разрешена ли данная операция чтения или записи.

В результате пользователи могут видеть/получать доступ к своим собственным токенам аутентификации, но не должны видеть/получать доступ к токенам аутентификации других пользователей, так как это позволяет другим пользователям (потенциально злонамеренным сторонам) выдавать себя за пользователь, соответствующий этому токену аутентификации.

источник

2015-01-22 19:56:43

Смежные вопросы

 Смежные вопросы