使用Firebase进行会话管理？

Question

我正在使用Firebase构建一个基本Web应用程序，需要进行身份验证和会话处理。仔细阅读Firebase Auth的文档，我决定在Facebook登录时使用email/password选项。

成功登录后，我们得到一个token，可以在页面刷新时再次用于登录，或使用auth()在新选项卡上再次使用。但是，为此我们需要将令牌保存在客户端的某个地方。通过执行认证和会话处理的source code for Firefeed，token保存在用户浏览器的localStorage中。

这种方法有多安全？由于使用浏览器的任何人都可以看到localStorage数据。有没有更好的选择呢？

Answer 1

简单登录返回的令牌是时间限制的用户特定令牌。如果受到威胁，他们最多只能让攻击者在有限的时间内冒充该用户。它们不包含用户的密码或其他敏感数据。

localstorage只能通过保存主机域的Javascript访问，所以您访问的其他站点将无法访问它（假设浏览器或您的站点没有被入侵，但是如果他们有，所有投注都关闭......）

所以，简单的回答，这种方法是相当安全的。