PayPalのサインインをAndroidアプリケーションに統合して、クライアントをFirebaseデータベースに認証したいと考えています。私は、クライアントアプリケーションで "signin withcustomtoken"関数を使用するために、提供されたuidからトークンを作成するnode.jsサーバーでカスタム機能を作成しました。トークンを取得するために、https経由でnodeidサーバーにuidを送信する必要がありますか?より良い方法がありますか?Firebase認証用の新しいフェデレーションIDプロバイダを作成する方法
uidを受け入れ、カスタムトークンを返すHTTPエンドポイントを作成しないでください。これは、巨大なセキュリティ上の脆弱性であり、攻撃者はどんなユーザーでも自分のuidを偽装する可能性があるためです。 あなたがする必要があるのは以下の通りです:
signInWithCustomTokenを使用すると、そのカスタムトークンでサインインを完了できます。この場合、認証コードを取得してFirebaseカスタムトークンを返すHTTPエンドポイントを公開しています。
これは基本的な考え方です(詳細は除外されています)。もちろん、同じデバイス上で何らかの状態を渡すことで、フローの開始と終了を確認してから、最後に戻っているかどうかを確認する必要があります。また、アプリリンクなどのようなものを使用して認証コードが正しいアプリに返されるようにする必要があります.Firebase Dynamic Linksが役立ちます。
セキュリティに関する私の心配だったInfact。 firebaseは私が外部のサーバと直接通信することを許可しないので、私はまずGoogle認証を使うことに決めました。ユーザーに確認済みのPayPalアカウントがあるかどうかを確認するフラグをデータベースに追加し、クライアントアプリケーションでPaypal oauthを完全に実装するように更新します。私はnode64関数を使用して、client64のclientid:secretを返して、クライアント上のppaouthのフローで動作させることができると思います。あなたは良いアイデアだと思いますか?ありがとう – Nullo
いいえもちろんです。クライアントIDまたはシークレットをクライアントに返さないでください。認証コードフローは、バックエンドサーバー上で完了するためのものです。 – bojeil
私はアプリ内のAPIの秘密を難読化し、それがどうなるかを見てみようと思います。私が支払った計画に切り替えたり、自分のサーバーをこの段階でセットアップする必要はありません。 – Nullo