Firebase: REST API Auth通过查询参数w Custom Token？

Question

我有20个端点HTTP POST到我的实时数据库使用查询参数"auth":"<db secret>"，这是有效的，但我需要限制基于组的访问。有两组，每组10个端点。

这些(particle.io)端点可以使用要发布到的URL、查询参数、自定义标头等进行硬编码，但我不相信它们可以在没有额外的固件级别编码的情况下处理HTTP响应(获取要使用的令牌)。

我是否可以使用Firebase Admin SDK手动创建一个持久性(生存期:0)令牌，然后在我的端点中进行配置？

Answer 1

您可以使用Admin进行mint a custom token，但它们必须是exchanged for an ID token，这是在访问Firebase数据库时必须提供的内容。另外，自定义令牌和ID令牌都是短暂的(1小时TTL)。

如果可能，您可以通过数据库身份验证覆盖，使用其privileges restricted直接在您的设备上运行Admin SDK。但通常不建议这样做，因为设备上的用户可以简单地禁用它。

我认为如果你想让访问令牌起作用，你必须在你的设备上进行一些HTTP调用。