每次我的 Swift 应用发出请求时，验证 Firebase 的 authToken 是否可行吗？

Question

我正在为我的 iOS 和 Mac 应用程序开发后端。我使用了 Firebase AuthUI 来设置苹果登录。我在 PHP 中验证登录时的 authToken。如何安全地保护其他端点是最佳方式？每次请求时验证 Firebase 的 $authToken 是否可行？

我在考虑是应该始终使用自己的 appToken 还是使用 Firebase 的 authToken。

Answer 1

由于ID令牌是不可变的，并且有效期至其到期日期，因此Firebase的许多后端会对从Firebase获得的ID令牌进行解码和验证，然后将结果缓存起来 - 使用（哈希值的）ID令牌作为键，解码后的令牌作为值。这使它们能够在每次调用时检查解码后的ID令牌是否仍然有效/未过期，而无需每次都解码它（这是一项更昂贵的操作）。