私のAndroidアプリでは、ユーザーがFirebaseを使用して認証されています。私はその後、アクセス許可を処理するためにどのユーザーがログインしているか知るためにサーバーを必要とします。私はHTTPSに慣れていませんが、認証されたユーザーのユーザーIDをPOSTパラメーターまたはクッキーとしてサーバーに送信するだけで、セキュリティー保護されますか?Firebaseでユーザ認証を処理できますが、サーバに認証情報を安全に渡すことはできますか?
あなたはAndroidアプリ内のユーザーを認証し、そのユーザーがサーバーにリクエストを送信しており、そのユーザーの認証状態とIDを確認する必要があります。
Firebase IDトークンを取得する必要があります。 currentUser.getIdTokenを使用してください。 Firebase IDトークンが表示されます。それをあなたのサーバーに投稿することができます。 https接続を使用することをお勧めします。また、IDトークンを要求の投稿本体またはヘッダーに渡す方が良いです。サーバー上では、IDトークンを検証する必要があります。 https://firebase.google.com/docs/auth/admin/verify-id-tokens#verify_id_tokens_using_a_third-party_jwt_library
あなたがIDトークンとそのペイロードを検証したら、あなたはリクエストを送信し、認証されたユーザを識別し、その内容を解析し、ユーザIDを取得し、subフィールドすることができます。