0

我正在web应用程序中使用Firebase进行身份验证。在应用程序中,所有者可以禁用帐户是很常见的。出于安全原因,当用户被禁用时,应将其从平台中删除。测试中,当我禁用一个帐户时,用户无法登录,但如果他们已经在平台上,他们将不会从平台上删除(我认为直到令牌过期)。是否可以配置当您停用用户时,他们会立即从其帐户中删除?

改进这个问题

1个答案1

重置为默认值
0

一旦生成,JWT在该令牌的到期时间之前都是有效的。当你可以 撤销刷新令牌,无法在ID令牌到期之前使其失效。

您可以做的是将吊销的令牌列表保存在某个位置,然后在授予对资源的访问权限之前检查该列表。要了解更多信息,请查看Firebase文档检测ID令牌吊销.

这个问题以前出现过好几次,所以我建议您也去看看:

改进此答案
被谷歌云集合认可
4
  • 你好,弗兰克。我知道这些代币的持续时间为1小时,对吗?因此,我可以撤销该用户的刷新令牌,而该用户只需在当前令牌的持续时间(最多1小时)结束之前拥有访问权限,对吗?也许这对我们来说已经足够了。顺便问一下,当禁用用户时,刷新令牌不会自动禁用吗?不应该是这样吗?
    – 迭戈·L
    评论 5月17日18:44
  • 我只是对链接有点困惑firebase.google.com/docs/auth/admin/…。我不确定当用户被禁用时它是否自动禁用。
    – 迭戈·L
    评论 5月17日18:54
  • 1
    注释#1)正确。禁用用户将无法创建新的ID令牌,因此一旦其当前ID令牌过期,他们将失去访问权限注释2)是的,禁用一个用户就是你所需要做的。没有必要再显式删除刷新令牌。
    – 弗兰克·范·普费伦
    评论 5月17日19:46
  • 非常感谢弗兰克的帮助。每当我问有关Firebase的问题时,我都会等待你的回答哈哈
    – 迭戈L
    评论 5月17日19:59

你的答案

单击“发布您的答案”,表示您同意我们的服务条款并确认您已阅读我们的隐私政策.

不是你想要的答案吗?浏览标记的其他问题问自己的问题.