-
Sind E-Mail und Auth-Token alles, was erforderlich ist, um einen Benutzer über den Server zu authentifizieren:Sie benötigen nur das Auth-ID-Token. Sie können die E-Mail von dort erhalten. Sie müssen das ID-Token jedes Mal überprüfen, wenn es an Ihren Server gesendet wird. Überprüfen Sie https://firebase.google.com/ docs/auth/admin/verify-id-tokens#verify_id_tokens_using_a_third-party_jwt_library
-
Sollte das Auth-Token über das PHP-SDK an das Firebase SDK gesendet werden:Es ist umgekehrt. Das ID-Token befindet sich auf der Client-Seite, Sie rufen getIdToken auf und senden es dann an Ihren Backend-Server.
-
Wie sollten Anmeldeinformationen in Bezug auf die Sicherheit in der MySQL-DB gespeichert werden:Sie müssen keine Anmeldeinformationen in Ihrer DB speichern. Sie können Sitzungsinformationen speichern, aber die Anmeldeinformationen werden auf dem Client generiert und aktualisiert.
- Wie läuft das Auth-Token ab und/oder wird es aktualisiert:Der Aufruf von user.getIdToken gibt immer ein neues Token zurück. Wenn das Token nicht abgelaufen ist, wird das zwischengespeicherte zurückgegeben. Wenn es abgelaufen ist, wird es aktualisiert und ein neues zurückgegeben. Sie müssen dies jedes Mal aufrufen, wenn Ihnen ein authentifizierter Benutzer eine Anfrage sendet.
- Wie sollen Informationen sicher vom Android-Client an die MySQL-Datenbank gesendet werden:Sie sollten sie immer mit dem ID-Token des Benutzers senden. Stellen Sie sicher, dass Sie das https-Protokoll verwenden. Überprüfen Sie immer das ID-Token auf Ihrem Server.
- Was ist das richtige Verfahren und die richtige Strategie zum Aktualisieren von Auth-Token:Verwenden Sie user.getIdToken()
- Was ist die richtige Synchronisierungsstrategie für Auth-Details wie E-Mail-Adresse und Token zwischen Client und Server:Token müssen nicht auf Ihrem Server gespeichert werden. Sie können der E-Mail im Token vertrauen. Es ist möglich, dass die E-Mail-Adresse eines Benutzers auf der Clientseite aktualisiert wird. In diesem Fall sollte auch die Token-E-Mail aktualisiert werden.