仅使用Firebase进行单点登录_Firebase_Single Sign On

仅使用Firebase进行单点登录

firebase single-sign-on

仅使用Firebase进行单点登录,firebase,single-sign-on,Firebase,Single Sign On,我有两个域使用相同的Firebase后端实例。我们只使用Firebase电子邮件和密码验证（我们没有后端）。是否可以允许用户在域之间漫游而不强制他们再次登录？一种想法是，当登录的用户被重定向到另一个域时，我们在URL中传递JWT，然后使用它自动登录到另一个域。那可行吗？是否存在任何安全问题？Firebase生成的JWT令牌特定于该Firebase应用程序，但不特定于任何域。因此，只要您使用安全的方式将令牌从一页传递到另一页，您就可以重复使用它们。我所做的是让站点B的管理员访问站点a的功能，因此，

我有两个域使用相同的Firebase后端实例。我们只使用Firebase电子邮件和密码验证（我们没有后端）。是否可以允许用户在域之间漫游而不强制他们再次登录？一种想法是，当登录的用户被重定向到另一个域时，我们在URL中传递JWT，然后使用它自动登录到另一个域。那可行吗？是否存在任何安全问题？

Firebase生成的JWT令牌特定于该Firebase应用程序，但不特定于任何域。因此，只要您使用安全的方式将令牌从一页传递到另一页，您就可以重复使用它们。

我所做的是让站点B的管理员访问站点a的功能，因此，一旦您登录到站点a，它会在B上创建相同的用户并在后端使用令牌登录，然后您也登录到B上。

谢谢，Frank。我可以控制使用的域，所以我倾向于

sub1.example.com

和

sub2.example.com

，然后将JWT放在路径为

.example.com

的cookie中，在两者之间传递。这似乎是一个安全的解决方案吗？如何仅使用JWT/id令牌在第二个域上登录用户？这个答案已经有两年多的历史了，但似乎还没有通过firebase跨域登录的解决方案。@JedidiahHurt这可能已经晚了，但其他人可能会发现它很有用：保护您提到的解决方案的一个好方法是加密和解密您将使用它的每个站点上存储的cookie令牌，使用安全存储在每个域上的共享加密密钥。@Frank我知道这将适用于web身份验证，但是否有任何移动身份验证解决方案您找到了一种安全方式共享跨域JWT令牌的解决方案吗？我没有。我正在做的项目在我们走到这一步之前就已经没有资金了。