如何驗證Firebase令牌服務器端？

Question

我有一個火力帳戶，我手動創建誰將會體健用我的網站的用戶（註冊是不公開的，但它是不相關的這項調查）

在登錄頁面，則認證通過JavaScript的。
一旦用戶輸入他們的郵件和密碼，相應的功能就會被執行，我得到令牌，然後通過url重定向將它發送到我的PHP服務器。事情是這樣的：

firebase.auth().signInWithEmailAndPassword(inputemail, inputpassw) 
    .then(function(user) { 

     myEmail = user.email; 
     myUid = user.uid; 

     user.getIdToken() 
      .then(function(token){ 
       myToken = token; 

       location.href = "http://www.example.com/verify?email="+myEmail+"&token="+myToken+"&uid="+myUid; 

      }); 

    }, function (error) { 
     ... 
    }); 

然後，我的服務器上我都會有郵件時，UID，和令牌。
所以，我的問題是：
如何驗證令牌是否有效？是不可能的？
我知道令牌是加密的，但密鑰是公開的......所以任何人都可以製作一個有效的令牌！
我的意思是，比如，我有一個過期的令牌，我可以對其進行解碼，更改過期時間，再對其進行編碼，並獲得到我的服務器不知道任何密碼

有我丟失的東西？

顯然我無法通過REST驗證令牌。
我還有什麼替代方案？

Answer 1

從火力地堡Documentation：

的火力地堡管理員SDK具有用於驗證和解碼ID令牌的內置的方法。 如果提供的ID令牌具有正確的格式，未過期並且簽名正確，則該方法會返回已解碼的ID令牌。您可以從解碼的令牌中獲取用戶或設備的uid。

所以，你不必擔心有人試圖生成假的令牌。

要驗證令牌在PHP中，得到Firebase Admin SDK for PHP

最少的代碼驗證令牌：

use Kreait\Firebase; 

$firebase = (new Firebase\Factory())->create(); 
$tokenHandler = $firebase->getTokenHandler(); 

//get a token from client 
$idTokenString = 'eyJhbGciOiJSUzI1...'; 

$idToken = $tokenHandler->verifyIdToken($idTokenString); 
$uid = $idToken->getClaim('sub'); 
echo $uid;