<p>iOS および Mac アプリのバックエンドを開発しています。 Firebase AuthUI を使用して Apple サインインを設定しました。 PHP でログイン時に authToken を検証しています。他のエンドポイントを安全に保護する最善の方法は何ですか?リクエストごとに Firebase の $authToken を検証することは可能ですか? <br /><br />常に独自の appToken を使用するべきか、Firebase の authToken を使用するべきか迷っています。 </p>
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
ID トークンは不変で有効期限まで有効であるため、Firebase の多くのバックエンドは、(ハッシュ値) ID トークンをキーとして使用し、デコードされたトークンをキーとして使用して、Firebase から取得した ID トークンをデコードして検証し、結果をキャッシュします。価値。これにより、呼び出しのたびに、デコードされた ID トークンがまだ有効かどうか、期限切れになっていないかを確認することができます。毎回デコードする必要はありません (これはより高価な操作です)。