使用Firebase進行會話管理？

Question

我正在使用Firebase構建一個基本Web應用程序，需要進行身份驗證和會話處理。仔細閱讀Firebase Auth的文檔，我決定在Facebook登錄時使用email/password選項。

成功登錄後，我們得到一個token，可以在頁面刷新時再次用於登錄，或使用auth()在新選項卡上再次使用。但是，爲此我們需要將令牌保存在客戶端的某個地方。通過執行認證和會話處理的source code for Firefeed，token保存在用戶瀏覽器的localStorage中。

這種方法有多安全？由於使用瀏覽器的任何人都可以看到localStorage數據。有沒有更好的選擇呢？

Answer 1

簡單登錄返回的令牌是時間限制的用戶特定令牌。如果受到威脅，他們最多隻能讓攻擊者在有限的時間內冒充該用戶。它們不包含用戶的密碼或其他敏感數據。

localstorage只能通過保存主機域的Javascript訪問，所以您訪問的其他站點將無法訪問它（假設瀏覽器或您的站點沒有被入侵，但是如果他們有，所有投注都關閉......）

所以，簡單的回答，這種方法是相當安全的。