属性 header 用于 firebase 身份验证令牌 api 对自定义服务器的请求
Property header for firebase auth token api request to a custom server
我有一个项目,包括前端(用 Vue 制作)和后端(用 Node.js 制作)。我的 服务器 处理 所有前端请求 并且有 自己的 mongodb。我仅将 firebase 用于身份验证.
我的问题是:如何让服务器确保某个请求是由有权执行该请求的登录用户发送的?
例如,如果我有请求 POST /user/:uid/products,让用户将产品添加到其帐户,我想确保提出此请求的是实际用户。
我想到了这个:https://firebase.google.com/docs/auth/admin/verify-id-tokens#web,从前端获取用户令牌并通过 firebase 管理员在服务器中检查它 api。
我只想知道我应该把这个令牌放在哪里header。我的意思是,前端是否应该将创建的令牌放在“授权”header 中?哪个header最合适?
习惯上放在“授权”里header,正如你所说
通常 header 的格式如下:
Authorization: Bearer <token>
OAuth 2.0 Authorization Framework: Bearer Token Usage, section 2.1 中对此进行了记录。您的后端当然应该解析相同的格式。
我有一个项目,包括前端(用 Vue 制作)和后端(用 Node.js 制作)。我的 服务器 处理 所有前端请求 并且有 自己的 mongodb。我仅将 firebase 用于身份验证.
我的问题是:如何让服务器确保某个请求是由有权执行该请求的登录用户发送的?
例如,如果我有请求 POST /user/:uid/products,让用户将产品添加到其帐户,我想确保提出此请求的是实际用户。
我想到了这个:https://firebase.google.com/docs/auth/admin/verify-id-tokens#web,从前端获取用户令牌并通过 firebase 管理员在服务器中检查它 api。
我只想知道我应该把这个令牌放在哪里header。我的意思是,前端是否应该将创建的令牌放在“授权”header 中?哪个header最合适?
习惯上放在“授权”里header,正如你所说
通常 header 的格式如下:
Authorization: Bearer <token>
OAuth 2.0 Authorization Framework: Bearer Token Usage, section 2.1 中对此进行了记录。您的后端当然应该解析相同的格式。