具有Google Auth的Android安全性和RESTFUL服务器（Firebase）

2024-05-19 • 问答

我有一个Android应用，用于使用Firebase登录的Google帐户。当我启动Android应用程序时，Firebase返回带有用户信息的令牌。我将该令牌发送到服务器进行验证。令牌中有一个日期和一个有效期（1小时）。

客户端-> Android 服务器-> RESTFUL PHP

从这里我不知道什么是安全的，或者什么是最安全的通信方式：

1st-在从客户端到服务器的每个https请求中，发送Firebase令牌，直到其过期。（对于每个请求，我必须在URL中收集Google提供的公共密钥以对令牌进行解码）

2nd-当我的服务器收到Firebase令牌时，它必须返回一个新令牌（由服务器生成），客户端必须在每个https请求中向服务器发送新令牌，直到该令牌过期。

哪种方法好？我错了，还有别的更好的方法吗？

正确的选项是第二个。

尽管您必须针对每个请求对Google进行解码以查询令牌，但真正的原因是服务器生成的令牌可能包含与应用程序相关的其他数据：权限，个人资料或我们感兴趣的任何内容。

要在PHP jwt服务器上生成令牌

作曲家需要firebase / php-jwt

本文链接：https://www.f2er.com/3056033.html