Se hacen todas las llamadas a través de la API salvo iniciar sesión y actualizar foto de perfil del usuario. Esta última es sencilla y hay un issue al respecto, pero la primera demanda más tiempo.
Estuve investigando y lo que se debe hacer es mantener el inicio de sesión por parte del cliente (mobile) y almacenar el firebaseToken que devuelve una vez hecho el login. De ahí, para cada request, se debe enviar ese token y verificar que sea válido.
Entonces estaríamos separando lo que es autenticación por parte web (JSESSIONID y todo lo que hace Vaadin) y autenticación mobile (validar firebaseToken en el servidor una vez hecho un login exitoso por parte del cliente).
Se hacen todas las llamadas a través de la API salvo iniciar sesión y actualizar foto de perfil del usuario. Esta última es sencilla y hay un issue al respecto, pero la primera demanda más tiempo. Estuve investigando y lo que se debe hacer es mantener el inicio de sesión por parte del cliente (mobile) y almacenar el firebaseToken que devuelve una vez hecho el login. De ahí, para cada request, se debe enviar ese token y verificar que sea válido. Entonces estaríamos separando lo que es autenticación por parte web (JSESSIONID y todo lo que hace Vaadin) y autenticación mobile (validar firebaseToken en el servidor una vez hecho un login exitoso por parte del cliente).