Gestione della sessione con Firebase?

Question

Sto costruendo una webapp di base utilizzando Firebase che richiede l'autenticazione e la gestione delle sessioni. Passando sopra i documenti per Firebase Auth, ho deciso di utilizzare l'opzione tramite il login di Facebook.

Dopo aver eseguito correttamente il login, viene fornito uno token che può essere riutilizzato per l'accesso quando la pagina si aggiorna o su una nuova scheda utilizzando auth(). Ma per questo avremmo bisogno di salvare il token da qualche parte sul lato client. Passando attraverso lo source code for Firefeed che implementa la gestione dell'autenticazione e della sessione, lo viene salvato nello localStorage del browser dell'utente.

Quanto è sicuro questo approccio? Dal momento che i dati localStorage sarebbero visibili a chiunque utilizzi il browser. C'è un'alternativa migliore a questo?

Answer 1

I token restituiti dal Login semplice sono token con limite di tempo specifici dell'utente. Se compromessi, nel peggiore dei casi consentirebbero a un utente malintenzionato di impersonare quell'utente per un periodo di tempo limitato. Non contengono la password dell'utente o altri dati sensibili.

È possibile accedere a LocalStorage solo tramite Javascript nel dominio host da cui è stato salvato, quindi gli altri siti visitati non potranno accedervi (presupponendo che il browser o il sito non siano stati compromessi, ma se lo sono, tutte le scommesse sono fuori ...)

Quindi, risposta breve, questo approccio è abbastanza sicuro.