[英]NodeJs and React with Firebase auth: how to secure nodejs api endpoints?
我有一个带有 NodeJS 后端(带有 Express)和 React 前端的应用程序。 用户身份验证由前端在 Firebase 身份验证的帮助下直接处理。 现在,我在后端有一些我想从前端访问的端点,例如用从后端获取的数据填充“选择”小部件选项,或者将一些数据写入由后端控制的数据库。
如何确保我的端点是安全的,并且只有我的 React 前端才能访问它们?
我阅读了有关使用 JWT 的信息,但据我了解,令牌需要在后端生成并在登录期间发送给用户。 问题是我前端的登录不涉及后端的任何内容。
用户身份验证由前端在 Firebase Authentication 的帮助下直接处理
我假设您在前端使用Firebase SDK并使用用户的登录凭据调用诸如signInWithEmailAndPassword
或signInWithPhoneNumber
之类的方法。 此类登录方法返回具有用户ID 令牌的UserCredential object。
当您进行后端调用时,您可以在这些请求中包含此 ID 令牌作为 header。 然后在后端您可以使用Firebase Admin Auth SDK的验证 ID 令牌方法来验证收到的 ID 令牌。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.