Est-il possible de valider l'authToken de Firebase à chaque fois que mon application Swift fait une demande ?

Question

Je développe un backend pour mes applications iOS et Mac. J'ai utilisé Firebase AuthUI pour configurer Apple Sign In. Je valide authToken lors de la connexion en PHP. Quelle est la meilleure façon de protéger en toute sécurité les autres points de terminaison ? Est-il possible de valider le $authToken de Firebase à chaque requête ?

Je me demande si je dois toujours utiliser mon propre appToken ou utiliser l'authToken de Firebase.

Answer 1

Étant donné que les jetons d'identification sont immuables et valides jusqu'à leur date d'expiration, de nombreux backends pour Firebase décodent et valident le jeton d'identification obtenu à partir de Firebase, puis mettent en cache le résultat - en utilisant le (hachage de) le jeton d'identification comme clé et le jeton décodé comme valeur. Cela leur permet de vérifier à chaque appel si le jeton d'identification décodé est toujours valide/n'a pas expiré sans avoir à le décoder à chaque fois (ce qui est une opération plus coûteuse).