تتيح حزمة تطوير البرامج (SDK) لمشرف Firebase تحديد سمات مخصّصة في حسابات المستخدمين. سيوفر ذلك إمكانية تنفيذ استراتيجيات متنوعة للتحكم في الوصول بما في ذلك التحكّم في الوصول استنادًا إلى الدور، في تطبيقات Firebase. هذه السمات المخصصة يمكن أن يمنح المستخدمين مستويات مختلفة من الوصول (الأدوار)، والتي يتم فرضها في قواعد أمان التطبيق.
يمكن تحديد أدوار المستخدمين للحالات الشائعة التالية:
- منح المستخدم امتيازات المشرف للوصول إلى البيانات والموارد.
- تحديد المجموعات المختلفة التي ينتمي إليها المستخدم.
- توفير الوصول المتعدّد المستويات:
- التفريق بين المشتركين في الخدمة المدفوعة وغير المدفوعة.
- التفريق بين المشرفين والمستخدمين العاديين
- الطلبات المقدّمة من المعلّمين أو الطلاب، وما إلى ذلك
- إضافة معرّف إضافي لمستخدم على سبيل المثال، يمكن لمستخدم Firebase الربط بمعرّف فريد مختلف في نظام آخر.
لنفكر في حالة تريد فيها تقييد الوصول إلى عقدة قاعدة البيانات
"adminContent." يمكنك القيام بذلك باستخدام البحث في قاعدة البيانات على قائمة
المستخدمين المشرفين. ومع ذلك، يمكنك تحقيق نفس الهدف بشكل أكثر كفاءة باستخدام
مطالبة مستخدم مخصّص باسم admin
باستخدام القاعدة Realtime Database التالية:
{
"rules": {
"adminContent": {
".read": "auth.token.admin === true",
".write": "auth.token.admin === true",
}
}
}
يمكن الوصول إلى مطالبات المستخدم المخصّصة من خلال الرموز المميّزة لمصادقة المستخدم.
في المثال أعلاه، فقط المستخدمون الذين تم ضبط القيمة admin
لهم على "صحيح" في المطالبة بالرمز المميّز
على القراءة/الكتابة
إمكانية الوصول إلى عقدة adminContent
. ونظرًا لأنّ الرمز المميّز للمعرّف يحتوي على هذه
لا يلزم إجراء عمليات بحث أو معالجة إضافية للتحقق من وصول المشرف
الأذونات. فضلاً عن ذلك، يُعد الرمز المميز للمعرّف آلية موثوق بها لتقديم
هذه المطالبات المخصّصة يجب أن تتحقّق جميع عمليات الوصول التي تمت مصادقتها من صحة الرمز المميّز للمعرّف قبل
معالجة الطلب ذي الصلة.
يتم الاعتماد على أمثلة التعليمات البرمجية والحلول الموضحة في هذه الصفحة من كل من واجهات برمجة التطبيقات لمصادقة Firebase من جهة العميل وواجهات برمجة التطبيقات للمصادقة من جهة الخادم التي توفّرها SDK للمشرف.
ضبط مطالبات المستخدمين المخصّصة والتحقّق منها من خلال "حزمة تطوير البرامج (SDK) الخاصة بالمشرف"
يمكن أن تحتوي المطالبات المخصّصة على بيانات حسّاسة، لذلك يجب ضبطها فقط. من بيئة خادم متميزة بواسطة SDK لمشرف Firebase.
Node.js
// Set admin privilege on the user corresponding to uid.
getAuth()
.setCustomUserClaims(uid, { admin: true })
.then(() => {
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
});
جافا
// Set admin privilege on the user corresponding to uid.
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
Python
# Set admin privilege on the user corresponding to uid.
auth.set_custom_user_claims(uid, {'admin': True})
# The new custom claims will propagate to the user's ID token the
# next time a new one is issued.
انتقال
// Get an auth client from the firebase.App
client, err := app.Auth(ctx)
if err != nil {
log.Fatalf("error getting Auth client: %v\n", err)
}
// Set admin privilege on the user corresponding to uid.
claims := map[string]interface{}{"admin": true}
err = client.SetCustomUserClaims(ctx, uid, claims)
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
#C
// Set admin privileges on the user corresponding to uid.
var claims = new Dictionary<string, object>()
{
{ "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
يجب ألا يحتوي عنصر المطالبات المخصّصة على الأسماء الرئيسية المحجوزة لـ OIDC أو أسماء محجوزة في Firebase يجب ألا تتجاوز حمولة المطالبات المخصصة 1,000 بايت.
يمكن أن يؤكّد الرمز المميّز الذي يتم إرساله إلى خادم الخلفية هوية المستخدم ومستوى وصوله باستخدام "مجموعة تطوير البرامج (SDK) للمشرف" على النحو التالي:
Node.js
// Verify the ID token first.
getAuth()
.verifyIdToken(idToken)
.then((claims) => {
if (claims.admin === true) {
// Allow access to requested admin resource.
}
});
جافا
// Verify the ID token first.
FirebaseToken decoded = FirebaseAuth.getInstance().verifyIdToken(idToken);
if (Boolean.TRUE.equals(decoded.getClaims().get("admin"))) {
// Allow access to requested admin resource.
}
Python
# Verify the ID token first.
claims = auth.verify_id_token(id_token)
if claims['admin'] is True:
# Allow access to requested admin resource.
pass
انتقال
// Verify the ID token first.
token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
log.Fatal(err)
}
claims := token.Claims
if admin, ok := claims["admin"]; ok {
if admin.(bool) {
//Allow access to requested admin resource.
}
}
#C
// Verify the ID token first.
FirebaseToken decoded = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(idToken);
object isAdmin;
if (decoded.Claims.TryGetValue("admin", out isAdmin))
{
if ((bool)isAdmin)
{
// Allow access to requested admin resource.
}
}
يمكنك أيضًا الاطّلاع على مطالبات المستخدم المخصّصة الحالية، وهي متاحة كـ السمة في كائن المستخدم:
Node.js
// Lookup the user associated with the specified uid.
getAuth()
.getUser(uid)
.then((userRecord) => {
// The claims can be accessed on the user record.
console.log(userRecord.customClaims['admin']);
});
جافا
// Lookup the user associated with the specified uid.
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
System.out.println(user.getCustomClaims().get("admin"));
Python
# Lookup the user associated with the specified uid.
user = auth.get_user(uid)
# The claims can be accessed on the user record.
print(user.custom_claims.get('admin'))
انتقال
// Lookup the user associated with the specified uid.
user, err := client.GetUser(ctx, uid)
if err != nil {
log.Fatal(err)
}
// The claims can be accessed on the user record.
if admin, ok := user.CustomClaims["admin"]; ok {
if admin.(bool) {
log.Println(admin)
}
}
#C
// Lookup the user associated with the specified uid.
UserRecord user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine(user.CustomClaims["admin"]);
يمكنك حذف مطالبات المستخدم المخصّصة من خلال ضبط القيمة null على customClaims
.
نشر المطالبات المخصّصة إلى العميل
يتم نشر المطالبات الجديدة التي يتم تعديلها للمستخدم من خلال "SDK للمشرف". إلى مستخدم مصادَق عليه من جهة العميل من خلال الرمز المميّز للمعرّف في ما يلي الطرق:
- يسجّل المستخدم الدخول أو يعيد المصادقة بعد تعديل المطالبات المخصّصة. وسيتضمّن رمز التعريف المميّز الذي تم إصداره نتيجةً لذلك أحدث المطالبات.
- تتم إعادة تحميل رمز التعريف الخاص بجلسة مستخدم حالية بعد انتهاء صلاحية رمز قديم.
- تتم إعادة تحميل الرمز المميّز للمعرّف من خلال طلب الرقم
currentUser.getIdToken(true)
.
الوصول إلى المطالبات المخصّصة على العميل
يمكن استرداد المطالبات المخصّصة فقط من خلال الرمز المميّز لمعرّف المستخدم. الوصول إلى هذه قد تكون هناك حاجة إلى المطالبة لتعديل واجهة مستخدم العميل استنادًا إلى دور المستخدم أو مستوى الوصول. ومع ذلك، يجب فرض الوصول إلى الخلفية دائمًا من خلال رمز تمييز IDENTITY بعد التحقّق منه وتحليل مطالباته. يجب عدم تقديم مطالبات مخصّصة يتم إرساله مباشرةً إلى الخلفية، نظرًا لأنه لا يمكن الوثوق بها خارج الرمز.
بعد نشر آخر المطالبات إلى الرمز المميز لمعرّف المستخدم، يمكنك الحصول عليها من خلال استرداد الرمز المميز للمعرف:
JavaScript
firebase.auth().currentUser.getIdTokenResult()
.then((idTokenResult) => {
// Confirm the user is an Admin.
if (!!idTokenResult.claims.admin) {
// Show admin UI.
showAdminUI();
} else {
// Show regular user UI.
showRegularUI();
}
})
.catch((error) => {
console.log(error);
});
Android
user.getIdToken(false).addOnSuccessListener(new OnSuccessListener<GetTokenResult>() {
@Override
public void onSuccess(GetTokenResult result) {
boolean isAdmin = result.getClaims().get("admin");
if (isAdmin) {
// Show admin UI.
showAdminUI();
} else {
// Show regular user UI.
showRegularUI();
}
}
});
Swift
user.getIDTokenResult(completion: { (result, error) in
guard let admin = result?.claims?["admin"] as? NSNumber else {
// Show regular user UI.
showRegularUI()
return
}
if admin.boolValue {
// Show admin UI.
showAdminUI()
} else {
// Show regular user UI.
showRegularUI()
}
})
Objective-C
user.getIDTokenResultWithCompletion:^(FIRAuthTokenResult *result,
NSError *error) {
if (error != nil) {
BOOL *admin = [result.claims[@"admin"] boolValue];
if (admin) {
// Show admin UI.
[self showAdminUI];
} else {
// Show regular user UI.
[self showRegularUI];
}
}
}];
أفضل الممارسات المتعلقة بالمطالبات المخصّصة
لا تُستخدَم المطالبات المخصّصة إلا لتوفير إمكانية التحكّم في الوصول. لم يتم تصميمها تخزين بيانات إضافية (مثل الملف الشخصي والبيانات المخصّصة الأخرى). في حين أن هذا قد آلية مناسبة للقيام بذلك، إلا أننا لا يُنصح باستخدامها لأن هذه يتم تخزين المطالبات في الرمز المميز للمعرّف ويمكن أن يتسبب ذلك في حدوث مشاكل في الأداء لأن جميع تحتوي الطلبات التي تمت مصادقتها دائمًا على رمز مميز لمعرّف Firebase يتوافق مع المستخدم الذي سجّل الدخول.
- استخدام المطالبات المخصّصة لتخزين البيانات للتحكم في وصول المستخدمين فقط يجب تخزين جميع البيانات الأخرى بشكل منفصل من خلال قاعدة بيانات الوقت الفعلي أو مساحة تخزين أخرى على الخادم.
- تكون المطالبات المخصّصة محدودة الحجم. سيؤدي تجاوز حمولة مطالبات مخصصة أكبر من 1,000 بايت إلى حدوث خطأ.
الأمثلة وحالات الاستخدام
توضّح الأمثلة التالية المطالبات المخصّصة في سياقٍ خاص حالات الاستخدام في Firebase
تحديد الأدوار عبر وظائف Firebase عند إنشاء المستخدمين
في هذا المثال، يتمّ ضبط المطالبات المخصّصة لمستخدم عند إنشائه باستخدام Cloud Functions.
يمكن إضافة المطالبات المخصّصة باستخدام Cloud Functions، ونشرها على الفور.
مع Realtime Database. يتم استدعاء الدالة فقط عند الاشتراك باستخدام onCreate
. بعد تعيين المطالبات المخصّصة، يتم نشرها على كل المطالبات الحالية
الجلسات المستقبلية. في المرة التالية التي يسجّل فيها المستخدم الدخول باستخدام بيانات اعتماد المستخدم،
فإن الرمز يحتوي على المطالبات المخصصة.
التنفيذ من جهة العميل (JavaScript)
const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.catch(error => {
console.log(error);
});
let callback = null;
let metadataRef = null;
firebase.auth().onAuthStateChanged(user => {
// Remove previous listener.
if (callback) {
metadataRef.off('value', callback);
}
// On user login add new listener.
if (user) {
// Check if refresh is required.
metadataRef = firebase.database().ref('metadata/' + user.uid + '/refreshTime');
callback = (snapshot) => {
// Force refresh to pick up the latest custom claims changes.
// Note this is always triggered on first call. Further optimization could be
// added to avoid the initial trigger when the token is issued and already contains
// the latest claims.
user.getIdToken(true);
};
// Subscribe new listener to changes on that node.
metadataRef.on('value', callback);
}
});
منطق "Cloud Functions"
عقدة قاعدة بيانات جديدة (metadata/($uid)} مع تقييد القراءة/الكتابة على إضافة مستخدم تمت مصادقته.
const functions = require('firebase-functions');
const { initializeApp } = require('firebase-admin/app');
const { getAuth } = require('firebase-admin/auth');
const { getDatabase } = require('firebase-admin/database');
initializeApp();
// On sign up.
exports.processSignUp = functions.auth.user().onCreate(async (user) => {
// Check if user meets role criteria.
if (
user.email &&
user.email.endsWith('@admin.example.com') &&
user.emailVerified
) {
const customClaims = {
admin: true,
accessLevel: 9
};
try {
// Set custom user claims on this newly created user.
await getAuth().setCustomUserClaims(user.uid, customClaims);
// Update real-time database to notify client to force refresh.
const metadataRef = getDatabase().ref('metadata/' + user.uid);
// Set the refresh time to the current UTC timestamp.
// This will be captured on the client to force a token refresh.
await metadataRef.set({refreshTime: new Date().getTime()});
} catch (error) {
console.log(error);
}
}
});
قواعد قاعدة البيانات
{
"rules": {
"metadata": {
"$user_id": {
// Read access only granted to the authenticated user.
".read": "$user_id === auth.uid",
// Write access only via Admin SDK.
".write": false
}
}
}
}
تحديد الأدوار عبر طلب HTTP
يحدد المثال التالي مطالبات مخصصة لمستخدم سجّل دخوله حديثًا من خلال طلب HTTP.
التنفيذ من جهة العميل (JavaScript)
const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.then((result) => {
// User is signed in. Get the ID token.
return result.user.getIdToken();
})
.then((idToken) => {
// Pass the ID token to the server.
$.post(
'/setCustomClaims',
{
idToken: idToken
},
(data, status) => {
// This is not required. You could just wait until the token is expired
// and it proactively refreshes.
if (status == 'success' && data) {
const json = JSON.parse(data);
if (json && json.status == 'success') {
// Force token refresh. The token claims will contain the additional claims.
firebase.auth().currentUser.getIdToken(true);
}
}
});
}).catch((error) => {
console.log(error);
});
التنفيذ في الخلفية (Admin SDK)
app.post('/setCustomClaims', async (req, res) => {
// Get the ID token passed.
const idToken = req.body.idToken;
// Verify the ID token and decode its payload.
const claims = await getAuth().verifyIdToken(idToken);
// Verify user is eligible for additional privileges.
if (
typeof claims.email !== 'undefined' &&
typeof claims.email_verified !== 'undefined' &&
claims.email_verified &&
claims.email.endsWith('@admin.example.com')
) {
// Add custom claims for additional privileges.
await getAuth().setCustomUserClaims(claims.sub, {
admin: true
});
// Tell client to refresh token on user.
res.end(JSON.stringify({
status: 'success'
}));
} else {
// Return nothing.
res.end(JSON.stringify({ status: 'ineligible' }));
}
});
يمكن استخدام المسار نفسه عند ترقية مستوى وصول مستخدم حالي. على سبيل المثال، تتم ترقية المستخدم إلى اشتراك مدفوع مجانًا. رقم تعريف المستخدم يتم إرسال الرمز مع معلومات الدفع إلى خادم الخلفية عبر HTTP طلبك. عند معالجة الدفعة بنجاح، يتم ضبط المستخدم على حساب مدفوع. مشتركًا عبر SDK للمشرف. يتم عرض استجابة HTTP ناجحة للملف الشخصي العميل لفرض إعادة تحميل الرمز المميّز.
تحديد الأدوار عبر النص البرمجي للخلفية
يمكن ضبط نص برمجي متكرّر (غير مفعَّل من العميل) لتنفيذه بهدف تعديل المطالبات المخصّصة للمستخدم:
Node.js
getAuth()
.getUserByEmail('user@admin.example.com')
.then((user) => {
// Confirm user is verified.
if (user.emailVerified) {
// Add custom claims for additional privileges.
// This will be picked up by the user on token refresh or next sign in on new device.
return getAuth().setCustomUserClaims(user.uid, {
admin: true,
});
}
})
.catch((error) => {
console.log(error);
});
جافا
UserRecord user = FirebaseAuth.getInstance()
.getUserByEmail("user@admin.example.com");
// Confirm user is verified.
if (user.isEmailVerified()) {
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), claims);
}
Python
user = auth.get_user_by_email('user@admin.example.com')
# Confirm user is verified
if user.email_verified:
# Add custom claims for additional privileges.
# This will be picked up by the user on token refresh or next sign in on new device.
auth.set_custom_user_claims(user.uid, {
'admin': True
})
انتقال
user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
log.Fatal(err)
}
// Confirm user is verified
if user.EmailVerified {
// Add custom claims for additional privileges.
// This will be picked up by the user on token refresh or next sign in on new device.
err := client.SetCustomUserClaims(ctx, user.UID, map[string]interface{}{"admin": true})
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
}
#C
UserRecord user = await FirebaseAuth.DefaultInstance
.GetUserByEmailAsync("user@admin.example.com");
// Confirm user is verified.
if (user.EmailVerified)
{
var claims = new Dictionary<string, object>()
{
{ "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}
يمكن أيضًا تعديل المطالبات المخصّصة بشكل تدريجي من خلال "حزمة تطوير البرامج (SDK) الخاصة بالمشرف":
Node.js
getAuth()
.getUserByEmail('user@admin.example.com')
.then((user) => {
// Add incremental custom claim without overwriting existing claims.
const currentCustomClaims = user.customClaims;
if (currentCustomClaims['admin']) {
// Add level.
currentCustomClaims['accessLevel'] = 10;
// Add custom claims for additional privileges.
return getAuth().setCustomUserClaims(user.uid, currentCustomClaims);
}
})
.catch((error) => {
console.log(error);
});
جافا
UserRecord user = FirebaseAuth.getInstance()
.getUserByEmail("user@admin.example.com");
// Add incremental custom claim without overwriting the existing claims.
Map<String, Object> currentClaims = user.getCustomClaims();
if (Boolean.TRUE.equals(currentClaims.get("admin"))) {
// Add level.
currentClaims.put("level", 10);
// Add custom claims for additional privileges.
FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), currentClaims);
}
Python
user = auth.get_user_by_email('user@admin.example.com')
# Add incremental custom claim without overwriting existing claims.
current_custom_claims = user.custom_claims
if current_custom_claims.get('admin'):
# Add level.
current_custom_claims['accessLevel'] = 10
# Add custom claims for additional privileges.
auth.set_custom_user_claims(user.uid, current_custom_claims)
انتقال
user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
log.Fatal(err)
}
// Add incremental custom claim without overwriting existing claims.
currentCustomClaims := user.CustomClaims
if currentCustomClaims == nil {
currentCustomClaims = map[string]interface{}{}
}
if _, found := currentCustomClaims["admin"]; found {
// Add level.
currentCustomClaims["accessLevel"] = 10
// Add custom claims for additional privileges.
err := client.SetCustomUserClaims(ctx, user.UID, currentCustomClaims)
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
}
#C
UserRecord user = await FirebaseAuth.DefaultInstance
.GetUserByEmailAsync("user@admin.example.com");
// Add incremental custom claims without overwriting the existing claims.
object isAdmin;
if (user.CustomClaims.TryGetValue("admin", out isAdmin) && (bool)isAdmin)
{
var claims = user.CustomClaims.ToDictionary(kvp => kvp.Key, kvp => kvp.Value);
// Add level.
var level = 10;
claims["level"] = level;
// Add custom claims for additional privileges.
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}