每次我的 Swift 應用程式發出請求時，請驗證 Firebase 的 authToken 是否可行嗎？

Question

我正在為我的 iOS 和 Mac 應用程式開發後端。我使用了 Firebase AuthUI 來設定蘋果登入。我在 PHP 中驗證登入時的 authToken。如何安全地保護其他端點是最佳方式？每次請求時驗證 Firebase 的 $authToken 是否可行？

我正在考慮是應該始終使用自己的 appToken 還是使用 Firebase 的 authToken。

Answer 1

由於ID令牌是不可變的，並且有效期至其到期日期，因此Firebase的許多後端會對從Firebase獲得的ID令牌進行解碼和驗證，然後將結果緩存起來- 使用（哈希值的）ID令牌作為鍵，解碼後的令牌作為值。這使它們能夠在每次調用時檢查解碼後的ID令牌是否仍然有效/未過期，而無需每次都解碼它（這是一項更昂貴的操作）。