私たちの製品の 1 つである Web アプリケーションのセキュリティを Firebase の REST API を使用してテストしているときに、Firebase 実装の V3 ではリフレッシュ トークンが期限切れにならず、リフレッシュ トークンが新しいトークンを永久に作成できることに気付いて驚きました。 .
local-storage は今日ではかなり安全なソリューションのように見えますが、たとえ短時間であっても明日失敗する可能性があり、誰かがこれらのリフレッシュ トークンを使用するのを止めることはできないことを懸念しています。
2 要素認証は問題を軽減するのに役立ちますが、それでも最初のステップは危険にさらされます。
Firebase を使用してトークンをブラックリストに登録する方法、または同様の動作を行う方法はありますか? ドキュメントを調べたところ、そのような機能は見つかりませんでした。
アドバイスをいただければ幸いです。