服务器上的防火墙令牌验证
服务器上的防火墙令牌验证
提问于 2020-04-17 17:15:33
我正在尝试使用firebase实现身份验证/授权系统,并且我在处理授权流的最后一部分,即使我的服务器能够验证令牌的有效性。
执行此操作的方法有两种:
- 使用firebase的Admin验证令牌,其中服务器与Firebase通信并验证令牌(安全选项)
- 使用第三方JWT库验证令牌。
根据文档是完全可行的的说法,我的问题与选项(2)有关。问题是,这怎么安全?令牌验证过程中包含的所有内容都是公开的,因此:
最后,确保ID令牌由与令牌的子声明相对应的私钥签名。从https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com获取公钥并使用JWT库验证签名。使用
如果令牌是公共的,而验证它的密钥是公开的,那么谁来保证令牌是真实的呢?
也许我错过了一些与JWT相关的东西?
PS。我已经使用远程验证实现了选项(1),但这将显著影响应用程序的性能。
回答 1
Stack Overflow用户
回答已采纳
发布于 2020-04-17 17:52:07
您可以使用公钥验证令牌的有效性,但只能使用私钥创建令牌。
正如他们的名字所暗示的:
- 您的私钥只应在受信任的环境中使用,例如您的开发机器、您控制的服务器或云函数。因此,这是唯一可以生成auth令牌的地方。
- 但是,公钥可以与其他人共享,这意味着他们可以使用它来确保令牌有效。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/61277079
复制相关文章
相似问题
腾讯云开发者
