問題タブ [refresh-token]

これまでのところ、アカウントを追加してトークンなどを取得できます。問題は、資格情報サーバー側を変更するときです。

資格情報が変更された場合にサーバーから通知を受け取ることができないため、トークンが有効でなくなったため、次の API 要求は拒否されます。

リクエストが拒否された後、2 つの理由が考えられます -> トークンの有効期限が切れているか、資格情報が無効になっています

これが発生すると、保存されたトークンを無効にして getAuthToken() を呼び出します

私の getAuthToken() では、最初に新しいトークンのリクエストを試みます。拒否された場合は、資格情報がもう問題ないことを意味するため、ログイン アクティビティを促す必要があります。問題は、 AccountAuthenticatorResponse.onError がエラーをログに記録することしかできないようで、それだけです。ログイン アクティビティの KEY_INTENT を含むバンドルを渡す AccountAuthenticatorResponse.onResult を使用しようとしましたが、何もしません。何かご意見は？

// AuthenticatorResponse.onResult(loginActivityBundle); AuthenticatorResponse.onError(errorResponse.networkResponse.statusCode、「エラー」);

私たちの製品の 1 つである Web アプリケーションのセキュリティを Firebase の REST API を使用してテストしているときに、Firebase 実装の V3 ではリフレッシュ トークンが期限切れにならず、リフレッシュ トークンが新しいトークンを永久に作成できることに気付いて驚きました。 .

local-storage は今日ではかなり安全なソリューションのように見えますが、たとえ短時間であっても明日失敗する可能性があり、誰かがこれらのリフレッシュ トークンを使用するのを止めることはできないことを懸念しています。

2 要素認証は問題を軽減するのに役立ちますが、それでも最初のステップは危険にさらされます。

Firebase を使用してトークンをブラックリストに登録する方法、または同様の動作を行う方法はありますか? ドキュメントを調べたところ、そのような機能は見つかりませんでした。

アドバイスをいただければ幸いです。