Chrome扩展程序后台中的Firebase身份验证页面

Question

如何使用Chrome扩展中的Firebase进行身份验证？我需要在Forge中指定允许的域列表。适用于扩展程序的Chrome网域只是一个很大的哈希式字符串。

我看过这样的：authClient.login problems

但Chrome扩展程序的哈希基于域未在火力地堡锻造接受。还有其他方法可以解决吗？目前，我只是在阅读Cookie firebaseSessionKey以假设我已登录。但肯定无法像让Firebase验证此会话密钥那样安全。

Answer 1

正如Rob指出的那样，身份验证在不强制原始限制的环境中无法使用。这里的根本问题是任何身份验证提供者（Facebook，Twitter，Persona或您自己的服务）都无法向浏览器发布身份，即使用Facebook登录您的浏览器（或扩展程序）是没有意义的。

Firefox的F1加载项遇到类似问题（http://f1.mozillamessaging.com/） - 您将授权F1在您的twitter/facebook上发布您的代码。该扩展有一个网站，以及它将从哪里服务的登录页面，并继续像你通常在网页中。你需要一些代码在网页和你的扩展之间进行通信，chrome提供了必要的工具。

我会推荐相同的方法 - 创建一个真正的域（Github页面是真棒这个）的网页去与你的扩展。这意味着您的扩展程序无法离线工作，但您的登录信息或写入Firebase的程序也无法使用！

Answer 2

这将使用谷歌加登录流程，我相信是唯一一个允许交叉认证，因此范围是谷歌加登录。

“万维网[点] googleapis [点] com/auth /中plus.login”

那么，什么是这里发生的事情是，你会从中你会被发送使用请求火力延伸拿到的access_token authwihtoauthtoken指定google作为提供者以及从chrome.identity.getAuthToken（）获取的access_token！

https://www.firebase.com/docs/web/api/firebase/authwithoauthtoken.html

现在的事实是，这个访问令牌可以由任何其他应用程序发行的，所以我们需要确保它是有效的，并已发布了我们的应用程序，基本上我们需要知道有ISN中间的人试图访问我们的数据库。

此验证由Firebase进行。

他们将检查此令牌是否属于与令牌已颁发给同一应用程序。

因此，您需要在Google开发者控制台的相同应用程序下为您的扩展程序创建另一组凭据。我们将基本上做同样的事情，就好像我们要在我们的网页上那样做，但我们将在其安全部分中将这组新的凭据插入到Firebase的Google oAuth中。

他们会为我们做检查。他们将验证与谷歌，如果令牌发布到同一个应用程序。

就是这样。

背景信息。

https://developers.google.com/identity/protocols/OAuth2UserAgent#validatetoken

使用情况

发送ID令牌与需要进行身份验证请求。例如，如果您需要将数据传递到服务器，并且希望确保特定数据来自特定用户。

当验证访问 所有令牌需要，除非你知道它们直接来自谷歌将在服务器上进行验证。您从客户端应用程序收到的任何令牌都必须经过验证。

谷歌有一个教程如何为蟒蛇做在发现：

“的github [点] com/GOOGLEPLUS/gplus-verifytoken-蟒蛇”

所以基本上这里发生了什么是;相反，您需要在服务器上进行验证，但是当您将FireClient_ID和APP_SECRET输入Firebase并启用Google身份验证时，Firebase会为您进行验证。

正确执行此操作的方式是验证client_secret发给谁的组合或相同样式。 Chrome会给你一个access_token，然后这个access_token将在firebase的后端进行检查。