我们有多个自定义要求,基本上要求我们使用自己的服务器和电子邮件API的用户身份验证。
我们正在尝试重新创建无密码身份验证流,并认为我们得到了它去。但我想验证,如果下面是准确的,特别是,如果这是安全的方式这样做。
1.在firebase中保持禁用电子邮件身份验证
1.将用户的电子邮件从应用程序客户端发送到自定义服务器
1.在createCustomToken
中使用firebase admin sdk,其中uid是用户的电子邮件
1.向用户发送一封电子邮件,其中包含应用程序的链接,其中附加了自定义令牌(我们处理速率限制)
1.使用signInWithCustomToken
在应用程序中验证此自定义令牌
我在这里错过了什么,特别是我需要注意的任何安全警告吗?
2条答案
按热度按时间anhgbhbe1#
这种方法听起来是正确的,并且与使用自定义令牌登录的Firebase文档相匹配。
唯一的安全问题通常是第4步,因为这是通过不安全的渠道,这是容易受到中间人攻击。在实践中,这通常不是一个问题,但仍然需要注意。
xdnvmnnf2#
这种方法听起来是正确的。
唯一的安全问题通常是第4步,因为这是通过不安全的渠道,这是容易受到中间人攻击。在实践中,这通常不是一个问题,但仍然需要注意。