Firebase 身份验证：uid 与 getToken（再次...）

Question

参考文档和 SO，但是：

如果我获得了用户的 uid，因为 Firebase 在身份验证后将其交给了我，这还不足以证明该特定用户实际上已在我的网站上进行了身份验证吗？

this.afAuth.auth.onAuthStateChanged((user) => {
   if (user) {
      // safe to use the user.uid to populate my users collection
   } else {
      // user.uid is logged out now
   }
});

这样我就可以在我的用户表中添加其他信息：

myUsersCollection/[uid]/the_other_things:"这里有些东西"

Why can't we use getUid() to authenticate with your backend server in firebase authentication 的帖子似乎没有为我解决这个问题？

有没有办法可以欺骗 onAuthStateChanged 事件来欺骗我？如果我确实从其他来源获得了 uid，那么我当然不能确定。但只要我正确使用状态更改并信任 Firebase 身份验证，getToken() 如何帮助证明身份验证？

另外，即使 getToken() 仍在docs 中，它是否真的贬值了？

提前感谢您的洞察力！

Answer 1

Firebase 使用 OAuth2，这是一种开放标准授权协议，可为应用提供安全访问的能力。 OAuth 使用授权令牌来证明消费者和服务提供者之间的身份。

Firebase UID 不是私有的，不保证用户的身份。当onAuthStateChanged 返回一个 Firebase 用户时，您就知道该用户在为会话寿命设置的限制内获得了授权。虽然不太可能，但会话状态可能会受到损害。这就是安全敏感操作需要重新身份验证以及 I​​D 令牌寿命短（通常为一小时）的原因。