Mysql
 sql >> Base de données >  >> RDS >> Mysql

Stockez en toute sécurité les utilisateurs d'Android Firebase Auth dans une base de données MySQL

  1. Est-ce que l'e-mail et le jeton d'authentification sont tout ce qui est nécessaire pour authentifier un utilisateur via le serveur :vous avez juste besoin du jeton d'identification d'authentification. Vous pouvez obtenir l'e-mail à partir de cela. Vous devez vérifier le jeton d'identification chaque fois qu'il est envoyé à votre serveur. Vérifiez https://firebase.google.com/ docs/auth/admin/verify-id-tokens#verify_id_tokens_using_a_third-party_jwt_library

  2. Si le jeton d'authentification est envoyé au SDK Firebase à l'aide du SDK PHP :c'est l'inverse. Le jeton d'identification est du côté client, vous appelez getIdToken puis l'envoyez à votre serveur principal.

  3. Comment les informations d'identification doivent-elles être stockées dans la base de données MySQL en ce qui concerne la sécurité :vous n'avez pas besoin de stocker les informations d'identification dans votre base de données. vous pouvez stocker des informations de session, mais les informations d'identification sont générées et actualisées sur le client.

  4. Comment le jeton d'authentification expire-t-il et/ou est-il actualisé :l'appel de user.getIdToken renverra toujours un nouveau jeton. Si le jeton n'a pas expiré, celui mis en cache est renvoyé. S'il a expiré, il sera actualisé et un nouveau renvoyé. Vous devrez l'appeler chaque fois qu'un utilisateur authentifié envoie une demande.
  5. Comment les informations doivent-elles être envoyées en toute sécurité du client Android à la base de données MySQL :vous devez toujours les envoyer avec le jeton d'identification de l'utilisateur. Assurez-vous d'utiliser le protocole https. Vérifiez toujours le jeton d'identification sur votre serveur.
  6. Quelles sont la procédure et la stratégie correctes pour mettre à jour les jetons d'authentification :utilisez user.getIdToken()
  7. Quelle est la bonne stratégie de synchronisation pour les détails d'authentification, tels que l'adresse e-mail et les jetons entre le client et le serveur :les jetons n'ont pas besoin d'être stockés sur votre serveur. Vous pouvez faire confiance à l'e-mail dans le jeton. Il est possible que l'e-mail d'un utilisateur soit mis à jour côté client. Lorsque cela se produit, l'e-mail du jeton doit également être mis à jour.