我正在将 Firebase Auth 用于涉及金融交易的 Web 应用程序。因此,安全性对于我的应用程序来说是最重要的。根据this doc,Firebase 可以通过将其存储在某处来在多个会话中持久保留其令牌。它没有提到它对于 XSS 的安全性。当然,我可以假设它是安全的,因为它是谷歌,但我想了解更多关于它的信息。
我们都读过文章指出 localStorage 对于存储身份验证是不安全的,而 cookie + csrf token + jwt + httpOnly 是处理浏览器身份验证的更安全的方式。
Firebase 如何存储其令牌?
它使用 localStorage 或 cookie,还是两者的组合?
Firestore 将令牌保存在索引数据库中(https://developer.mozilla.org/en-US/docs/Web/API/IndexedDB_API)。数据库名为“firebaseLocalStorageDb”,对象存储名为“firebaseLocalStorage”,密钥 firebase:authUser:[id]。
如需进一步的代码审查,请查看https://github.com/firebase/firebase-js-sdk/blob/master/packages/auth/src/authuser.js .
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)