3

我正在尝试为我的 Firebase 应用程序提供 Google 登录。关注https://www.firebase.com/docs/security/simple-login-overview.html

似乎在成功登录后,可以获得一个用户,因此它可以例如存储在 Angular 范围内 - 例如 $scope.loggedInUser。(根据您的实现,它不一定是 Angular)

我的问题是,Firebase 返回的具有大量身份验证令牌的用户是否会被暴露是否存在安全风险?代码是 Javascript 的,黑客应该能够通过在浏览器中嵌入一些代码来劫持和窃取用户。

引起我关注的位是:accessToken、firebaseAuthToken

如果这是一个风险,我们如何保护它?

有关身份验证和用户数据,请参阅以下代码:

这是身份验证的代码:

authModule.controller( 'AuthController', [
  '$scope',
  '$firebase',
  function ( $scope, $firebase ) {
    var ref = new Firebase( 'https://test123.firebaseio.com' );

    var auth = new FirebaseSimpleLogin( ref, function ( error, user ) {
      if ( user ) {
        $scope.loggedInUser = user; // user has authenticated, this user contains security information
      }
    } );

    $scope.login = function () {
      auth.login( "google", {
        scope: 'https://www.googleapis.com/auth/plus.login'
      } );
    };
  }] );

loggedInUser 中包含的内容(这只是示例数据):

loggedInUser:  { 
    id: 7058267704789236427849
    uid: google:7058267704789236427849
    displayName: Joe Bloggs
    provider: google
    thirdPartyUserData:  { 
        id: 709139364278942374
        email: test@gmail.com
        verified_email: true
        name: Joe Bloggs
        given_name: Joe
        family_name: Bloggs
        link: https://plus.google.com/2672340913423423
        picture: https://lh3.googleusercontent.com/.../photo.jpg
        gender: male
        locale: en-GB
     } 
    accessToken: W8k8dD6vvLEdlWa-dxkJD8lvWIwzea6m_86um8...
    email: test@gmail.com
    firebaseAuthToken: Q3Mjc4MzYsInYiOjAsImQiOnsiaWQiOiIxMDk0...
 }
4

2 回答 2

5

这基本上是关于 OAuth 及其运作方式的问题。加密令牌的生成是此过程的基础。关于是否以及在哪里可以存储此令牌(cookie、本地存储、内存等)有很多意见。

令牌安全吗?当通过 SSL 会话使用时,OAuth 非常安全。Firebase 使用与其他大牌相同的 OAuth 实践和加密,它们都以类似的方式提供 OAuth 令牌(实际上,在简单登录中,您可以获得 Facebook 身份验证令牌,例如,作为登录有效负载的一部分,与通过 Facebook 的 API 提供给我们的完全一样)。

这并不是说 OAuth 没有缺陷。安全性没有完美的答案,因为一切都是权衡。唯一完全安全的系统是物理上不存在、不连接到任何网络、人类无法访问的系统。

关于 XSS 等:本质上,一旦巨魔进入城堡,瓷器就会被打破。如果客户端受到威胁,那么没有什么是安全的。如果用户设法以某种方式破坏您客户端的浏览器或执行成功的 XSS,那么他们可以通过多种方式访问​​您的帐户,无论我们是在谈论 OAuth 令牌还是普通的登录/密码字段。

总之,如果您相信 Google、Facebook、Twitter、Yahoo 和 M$ 身份验证相对安全,那么您可以同样相信 Firebase 身份验证架构。

于 2014-07-08T15:49:54.820 回答
2

为了对我自己的问题提供更多答案,以便对遇到相同问题的其他人有所帮助,我尝试登录、注销、再次登录。每次我得到不同的令牌(对于两者:accessToken,firebaseAuthToken)。所以这些令牌就像 sessionId 一样,在注销时会过期。

从 Firebase 的 Andrew Lee 那里找到答案。他解释说,令牌是有时间限制的,可以保存在浏览器的 localStorage 中(这就是我们假设保持活动会话的方式)。

请参考:https ://stackoverflow.com/a/14094165/2810746

于 2014-07-10T10:25:39.870 回答