验证 Firebase ID 令牌与获取用户数据

Question

我正在构建一个简单的 PHP 网站，让用户可以使用 Google 或 Facebook 登录。这是在客户端完成的，然后将生成的 ID-token 和 refreshtoken 发送到我的 PHP 脚本以识别数据库中的用户。之后，我使用基于“传统”会话的用户处理。因此，Firebase 令牌是使用 javascript SDK 获取的，并且仅在登录时使用。

我目前在服务器上使用unofficial Firebase Admin PHP SDK 来验证idtoken。但我想知道这是否是矫枉过正和不必要的复杂。 Firebase 有 a REST interface，它让我可以使用 cURL 或 Guzzle 发出简单的 POST 并取回用户数据，或者如果 idtoken 过期或无效，则会显示错误消息。

POST https://identitytoolkit.googleapis.com/v1/accounts:lookup?key=<API_KEY> 

请求正文

{"idToken":"<Firebase ID-token>"}

响应正文

   {
     "kind": "identitytoolkit#GetAccountInfoResponse",
     "users": [
       // User data
     ]
   }

或者一个错误：

• INVALID_ID_TOKEN

  用户的凭据不再有效。用户必须重新登录。

• USER_NOT_FOUND

  没有与此标识符对应的用户记录。该用户可能已被删除。

这比使用 Admin SDK 简单得多。据我所知，使用 Admin SDK 的主要好处是可以使用私钥/公钥在本地验证令牌。但就我而言，我只需要在登录时验证一次令牌，然后使用老式 PHP 会话。

那么，进行 REST 调用是否足以在登录时“验证”Firebase idtoken？或者这样做是否存在潜在的安全问题？

Answer 1

对 identitytoolkit API 的 REST 请求就足够了。

SDK 提供了很多可用于管理用户数据的方法，例如更新名称、管理数据库访问等。如果您的应用不需要执行任何操作 - 您的代码应该可以正常使用 REST 调用。

此外，SDK 验证令牌的简单方法不会检查 revoked tokens，因为它需要调用 Firebase 后端。但是，如果是 REST 调用，则会对其进行验证。

最后，由于您的应用只调用一次（并在此后保持会话），因此开销应该不会太多。