如何验证firebase令牌服务器端？

I have a firebase account where I manually create the users who will be abled to use my site (sign up is not public, but it is not relevant to this inquiry)

In the login page, the authentication is through javascript.
Once the user enters their mail and password the corresponding function is executed, I get the token and I send it to my PHP server via url redirection. Something like this:

firebase.auth().signInWithEmailAndPassword(inputemail, inputpassw)
    .then( function(user) {

        myEmail = user.email;
        myUid = user.uid;

        user.getIdToken()
            .then( function(token){
                myToken = token;

                location.href = "http://www.example.com/verify?email="+myEmail+"&token="+myToken+"&uid="+myUid;

            });

    }, function (error) {
       ...
    });

Then, on my server I will have the mail, the uid, and the token.
So, my question is:
How do I verify that the token is valid? It is impossible?
I know the token is encrypted, but the key is public... so anyone could make a valid token!
I mean, for instance, I have an expired token, I can decode it, change the expiration time, encode it again and gain access to my server without knowing any password

Is there something I'm missing?

Apparently I can not verify the token via REST.
What alternative do I have?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dtpd58676 2017-06-30 15:46
关注
From the Firebase Documentation:

The Firebase Admin SDK has a built-in method for verifying and decoding ID tokens. If the provided ID token has the correct format, is not expired, and is properly signed, the method returns the decoded ID token. You can grab the uid of the user or device from the decoded token.

So, you do not need to worry about someone trying to generate fake tokens.

To verify the token in PHP, as described in the docs Firebase Admin SDK for PHP

Minimal code for verifying the token:

use Kreait\Firebase; use Firebase\Auth\Token\Exception\InvalidToken; //create Firebase factory object //$firebase = (new Firebase\Factory())->create(); //get a token from client //$idTokenString = 'eyJhbGciOiJSUzI1...'; try { $verifiedIdToken = $firebase->getAuth()->verifyIdToken($idTokenString); } catch (InvalidToken $e) { echo $e->getMessage(); } $uid = $verifiedIdToken->getClaim('sub'); $user = $firebase->getAuth()->getUser($uid); echo $user;
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

php中的Firebase令牌验证 php
2017-02-07 07:43

回答 1 已采纳 How can i know wich public key should i use if the kid is encoded and for decode it i need that
Firebase适合哪些地方？ database html5 php
2016-09-09 17:46

回答 1 已采纳 Building a full-featured web application without any server-side logic and input validation does n
如何使用golang在Firebase中创建用户？
2017-01-17 10:52

回答 2 已采纳 There is no Firebase SDK for Go. But certain parts of Firebase have a REST API that allows you to
android php 推送,php-Android通过Firebase推送通知(服务器端)
2021-03-23 21:35

weixin_40004057的博客我正在尝试使用Firebase云消息传递系统从服务器向我的android设备发送推送通知.我能够成功注册我的设备,并且也为我的设备生成了令牌.我无法使用以下脚本将通知发送到我的设备function send_notification($token1,$...
在php中实现firebase：在firebase中查找令牌 database php
2017-08-23 08:55

回答 1 已采纳 1) DEFAULT_PATH Default path is your main project path. When you create new project on firebase.
Firebase身份验证客户端线程安全吗？
2018-11-03 08:50

回答 1 已采纳 Yes, it is goroutine safe. auth.Client is intended to be shared among goroutines and reused. Spe
如何修复此Firebase数据检索？ html php
2019-04-09 17:07

回答 1 已采纳 You need to create a cell for each value here : you need to create cells for each data var cel
php base auth,Firebase Auth JS / PHP
2021-04-21 18:55

灵芝草露的博客我受命为基于Firebase的Android应用程序构建Web界面。我有一些与数据库交互的端点(云函数)。要访问这些端点，我需要使用电子邮件和密码[1]对用户进行身份验证，检索accessToken[2]并授权使用Authorization: Bearer {...
Firebase自定义身份验证传递令牌
2016-03-19 20:36

回答 1 已采纳 If I understand the flow correctly, then what you're missing is an end point that your app user ta
Firebase index.php node.js php
2018-06-12 21:35

回答 1 已采纳 Firebase hosting is for hosting static assets. PHP is executable, so it can't be used in Firebase
Firebase数据库规则+身份验证无效 php
2018-02-09 21:14

回答 1 已采纳 As Frank mentioned in the comments, you must call setToken() in order to authenticate all subseque
ios Sign In With Apple PHP服务器验证问题
2019-12-06 16:35

Mr.LQX的博客 Sign In With Apple服务器登录验证有很多问题，官方文档写的也不清不楚，网上资料不算多。一、验证identityToken有效性和正确性根据[官方文档]...
Firebase存储上传php php
2018-04-12 08:01

回答 1 已采纳 By using $_FILES['imageToUpload']['tmp_name'], you are using the temporary name of the uploaded im
php + JWT详解
2023-10-17 16:38

半桶水专家的博客此信息可以被验证和信任，因为它被数字签名。Header：头部通常由两部分组成：token 类型和使用的哈希算法。Payload：载荷包含声明。声明是关于实体（通常是用户）的信息以及附加元数据。Signature。
TP5.1使用JWT进行Token令牌生成与验证
2019-08-05 16:24

SolKnight的博客传统互联网项目在实现保持登录状态、退出登录、接口请求等功能时会使用...但是Token不会产生这些问题，服务器端对Token只有生成和验证操作，不会存放数据，针对前后端分离的项目，包括手机APP和当前热门的小程序的...
firebase 推送_如何使用Firebase向Web应用程序添加推送通知？
2020-07-23 06:46

cumichun6193的博客 firebase 推送by Leonardo Cardoso 由莱昂纳多·卡多佐(Leonardo Cardoso) 如何使用Firebase向Web应用程序添加推送通知？ (How to add push notifications to a web app with Firebase ?+?) As web applications ...
Java权限认证机制之JWT令牌生成和解析以及SpringMVC参数解析器
2022-08-31 13:48

小钟要学习！！！的博客 1.2 Cookie-Session Auth Cookie-session 认证机制是通过浏览器带上来Cookie对象来与服务器端的session对象匹配来实现状态管理。第一次请求认证在服务端创建一个Session对象，同时在用户的浏览器端创建了一个...
Thinkph6 命令大全，插件，路由，扩展，日常总结，更新等
2023-06-20 14:27

胡萝卜的兔的博客 -f $request_filename) { rewrite ^(.*)$ /index.php?s=/$1 last; } } tp6常用扩展安装字符串操作扩展类库 composer require topthink/think-helper 以下类库都在\think\helper命名空间下 use think\\helper\\Str...
php jwt使用案例,PHP如何使用JWT做Api接口身份认证的实现
2021-03-24 09:42

weixin_39849888的博客官网简介：JSON Web令牌(JWT)是一个开放标准(RFC 7519)，它定义了一种紧凑且自包含的方式，用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的，因此可以被验证和信任。可以使用秘密(使用HMAC...
没有解决我的问题, 去提问

悬赏问题

¥15 不同尺寸货物如何寻找合适的包装箱型谱
¥15 求解 yolo算法问题
¥15 虚拟机打包apk出现错误
¥15 用visual studi code完成html页面
¥15 聚类分析或者python进行数据分析
¥15 三菱伺服电机按启动按钮有使能但不动作
¥15 js，页面2返回页面1时定位进入的设备
¥50 导入文件到网吧的电脑并且在重启之后不会被恢复
¥15 （希望可以解决问题）ma和mb文件无法正常打开，打开后是空白，但是有正常内存占用，但可以在打开Maya应用程序后打开场景ma和mb格式。
¥20 ML307A在使用AT命令连接EMQX平台的MQTT时被拒绝