Firebase Admin SDK از تعریف ویژگی های سفارشی در حساب های کاربری پشتیبانی می کند. این توانایی پیاده سازی استراتژی های کنترل دسترسی مختلف از جمله کنترل دسترسی مبتنی بر نقش را در برنامه های Firebase فراهم می کند. این ویژگیهای سفارشی میتوانند سطوح مختلفی از دسترسی (نقشها) را به کاربران بدهند، که در قوانین امنیتی برنامه اعمال میشوند.
نقش های کاربر را می توان برای موارد رایج زیر تعریف کرد:
- دادن امتیازات مدیریتی به کاربر برای دسترسی به داده ها و منابع.
- تعریف گروه های مختلف که یک کاربر به آن تعلق دارد.
- ارائه دسترسی چند سطحی:
- متمایز کردن مشترکین پولی/بدون پرداخت.
- متمایز کردن مدیران از کاربران عادی
- درخواست معلم / دانشجو و غیره
- یک شناسه اضافی روی یک کاربر اضافه کنید. به عنوان مثال، یک کاربر Firebase می تواند به یک UID دیگر در سیستم دیگری نقشه برداری کند.
بیایید موردی را در نظر بگیریم که میخواهید دسترسی به گره پایگاه داده «adminContent» را محدود کنید. شما می توانید این کار را با جستجوی پایگاه داده در لیستی از کاربران مدیر انجام دهید. با این حال، میتوانید با استفاده از یک ادعای کاربر سفارشی به نام admin
با قانون Realtime Database زیر، به همان هدف به طور مؤثرتری دست پیدا کنید:
{
"rules": {
"adminContent": {
".read": "auth.token.admin === true",
".write": "auth.token.admin === true",
}
}
}
ادعاهای کاربر سفارشی از طریق توکن های احراز هویت کاربر قابل دسترسی هستند. در مثال بالا، فقط کاربرانی که admin
در ادعای رمزشان روی true تنظیم شده باشد، میتوانند به گره adminContent
دسترسی خواندن/نوشتن داشته باشند. از آنجایی که رمز شناسه قبلاً حاوی این ادعاها است، برای بررسی مجوزهای سرپرست نیازی به پردازش یا جستجوی اضافی نیست. علاوه بر این، رمز ID مکانیزمی قابل اعتماد برای ارائه این ادعاهای سفارشی است. همه دسترسی های احراز هویت شده باید قبل از پردازش درخواست مرتبط، شناسه رمز را تأیید کنند.
نمونههای کد و راهحلهای شرحدادهشده در این صفحه از APIهای Firebase Auth سمت کلاینت و Auth Auth سمت سرور ارائهشده توسط Admin SDK استخراج میشوند.
ادعاهای کاربر سفارشی را از طریق Admin SDK تنظیم و تأیید کنید
ادعاهای سفارشی میتوانند حاوی دادههای حساس باشند، بنابراین فقط باید از یک محیط سرور ممتاز توسط Firebase Admin SDK تنظیم شوند.
Node.js
// Set admin privilege on the user corresponding to uid.
getAuth()
.setCustomUserClaims(uid, { admin: true })
.then(() => {
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
});
جاوا
// Set admin privilege on the user corresponding to uid.
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
پایتون
# Set admin privilege on the user corresponding to uid.
auth.set_custom_user_claims(uid, {'admin': True})
# The new custom claims will propagate to the user's ID token the
# next time a new one is issued.
برو
// Get an auth client from the firebase.App
client, err := app.Auth(ctx)
if err != nil {
log.Fatalf("error getting Auth client: %v\n", err)
}
// Set admin privilege on the user corresponding to uid.
claims := map[string]interface{}{"admin": true}
err = client.SetCustomUserClaims(ctx, uid, claims)
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
سی شارپ
// Set admin privileges on the user corresponding to uid.
var claims = new Dictionary<string, object>()
{
{ "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
شیء ادعاهای سفارشی نباید حاوی هیچ نام کلید رزرو شده OIDC یا نام رزرو شده Firebase باشد. حجم مطالبات سفارشی نباید از 1000 بایت تجاوز کند.
یک رمز شناسه ارسال شده به سرور باطن میتواند هویت کاربر و سطح دسترسی کاربر را با استفاده از Admin SDK به شرح زیر تأیید کند:
Node.js
// Verify the ID token first.
getAuth()
.verifyIdToken(idToken)
.then((claims) => {
if (claims.admin === true) {
// Allow access to requested admin resource.
}
});
جاوا
// Verify the ID token first.
FirebaseToken decoded = FirebaseAuth.getInstance().verifyIdToken(idToken);
if (Boolean.TRUE.equals(decoded.getClaims().get("admin"))) {
// Allow access to requested admin resource.
}
پایتون
# Verify the ID token first.
claims = auth.verify_id_token(id_token)
if claims['admin'] is True:
# Allow access to requested admin resource.
pass
برو
// Verify the ID token first.
token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
log.Fatal(err)
}
claims := token.Claims
if admin, ok := claims["admin"]; ok {
if admin.(bool) {
//Allow access to requested admin resource.
}
}
سی شارپ
// Verify the ID token first.
FirebaseToken decoded = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(idToken);
object isAdmin;
if (decoded.Claims.TryGetValue("admin", out isAdmin))
{
if ((bool)isAdmin)
{
// Allow access to requested admin resource.
}
}
همچنین میتوانید ادعاهای سفارشی موجود کاربر را که بهعنوان یک ویژگی در شی کاربر در دسترس هستند، بررسی کنید:
Node.js
// Lookup the user associated with the specified uid.
getAuth()
.getUser(uid)
.then((userRecord) => {
// The claims can be accessed on the user record.
console.log(userRecord.customClaims['admin']);
});
جاوا
// Lookup the user associated with the specified uid.
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
System.out.println(user.getCustomClaims().get("admin"));
پایتون
# Lookup the user associated with the specified uid.
user = auth.get_user(uid)
# The claims can be accessed on the user record.
print(user.custom_claims.get('admin'))
برو
// Lookup the user associated with the specified uid.
user, err := client.GetUser(ctx, uid)
if err != nil {
log.Fatal(err)
}
// The claims can be accessed on the user record.
if admin, ok := user.CustomClaims["admin"]; ok {
if admin.(bool) {
log.Println(admin)
}
}
سی شارپ
// Lookup the user associated with the specified uid.
UserRecord user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine(user.CustomClaims["admin"]);
میتوانید ادعاهای سفارشی کاربر را با ارسال null برای customClaims
حذف کنید.
ادعاهای سفارشی را برای مشتری تبلیغ کنید
پس از اصلاح ادعاهای جدید روی یک کاربر از طریق Admin SDK، آنها از طریق شناسه شناسه به روش های زیر به یک کاربر تأیید شده در سمت سرویس گیرنده منتشر می شوند:
- یک کاربر پس از اصلاح ادعاهای سفارشی وارد سیستم می شود یا دوباره احراز هویت می کند. رمز شناسایی صادر شده در نتیجه حاوی آخرین ادعاها خواهد بود.
- یک جلسه کاربر موجود پس از انقضای یک توکن قدیمی، رمز شناسه خود را به روز می کند.
- یک نشانه ID با فراخوانی
currentUser.getIdToken(true)
به اجبار تجدید می شود.
به ادعاهای سفارشی مشتری دسترسی داشته باشید
ادعاهای سفارشی فقط از طریق شناسه شناسه کاربر قابل بازیابی هستند. دسترسی به این ادعاها ممکن است برای تغییر رابط کاربری مشتری بر اساس نقش یا سطح دسترسی کاربر ضروری باشد. با این حال، پس از تأیید اعتبار و تجزیه ادعاهای آن، دسترسی باطن همیشه باید از طریق رمز شناسه اعمال شود. ادعاهای سفارشی نباید مستقیماً به پشتیبان ارسال شوند، زیرا خارج از توکن نمی توان به آنها اعتماد کرد.
هنگامی که آخرین ادعاها در شناسه یک کاربر منتشر شد، میتوانید با بازیابی کد ID آنها را دریافت کنید:
جاوا اسکریپت
firebase.auth().currentUser.getIdTokenResult()
.then((idTokenResult) => {
// Confirm the user is an Admin.
if (!!idTokenResult.claims.admin) {
// Show admin UI.
showAdminUI();
} else {
// Show regular user UI.
showRegularUI();
}
})
.catch((error) => {
console.log(error);
});
اندروید
user.getIdToken(false).addOnSuccessListener(new OnSuccessListener<GetTokenResult>() {
@Override
public void onSuccess(GetTokenResult result) {
boolean isAdmin = result.getClaims().get("admin");
if (isAdmin) {
// Show admin UI.
showAdminUI();
} else {
// Show regular user UI.
showRegularUI();
}
}
});
سویفت
user.getIDTokenResult(completion: { (result, error) in
guard let admin = result?.claims?["admin"] as? NSNumber else {
// Show regular user UI.
showRegularUI()
return
}
if admin.boolValue {
// Show admin UI.
showAdminUI()
} else {
// Show regular user UI.
showRegularUI()
}
})
هدف-C
user.getIDTokenResultWithCompletion:^(FIRAuthTokenResult *result,
NSError *error) {
if (error != nil) {
BOOL *admin = [result.claims[@"admin"] boolValue];
if (admin) {
// Show admin UI.
[self showAdminUI];
} else {
// Show regular user UI.
[self showRegularUI];
}
}
}];
بهترین روش ها برای ادعاهای سفارشی
ادعاهای سفارشی فقط برای ارائه کنترل دسترسی استفاده می شود. آنها برای ذخیره داده های اضافی (مانند نمایه و سایر داده های سفارشی) طراحی نشده اند. اگرچه ممکن است این یک مکانیسم مناسب برای انجام این کار به نظر برسد، اما به شدت از آن جلوگیری میشود، زیرا این ادعاها در نشانه ID ذخیره میشوند و میتوانند باعث مشکلات عملکرد شوند، زیرا همه درخواستهای احراز هویت شده همیشه حاوی یک نشانه Firebase ID مطابق با کاربر وارد شده هستند.
- از ادعاهای سفارشی برای ذخیره داده ها فقط برای کنترل دسترسی کاربر استفاده کنید. تمام داده های دیگر باید به طور جداگانه از طریق پایگاه داده بلادرنگ یا سایر حافظه های سمت سرور ذخیره شوند.
- ادعاهای سفارشی در اندازه محدود هستند. ارسال بار ادعای سفارشی بیش از 1000 بایت با خطا مواجه می شود.
مثال ها و موارد استفاده
مثالهای زیر ادعاهای سفارشی را در زمینه موارد استفاده خاص Firebase نشان میدهند.
تعریف نقش ها از طریق توابع Firebase در ایجاد کاربر
در این مثال، ادعاهای سفارشی روی کاربر در هنگام ایجاد با استفاده از Cloud Functions تنظیم میشوند.
ادعاهای سفارشی را می توان با استفاده از Cloud Functions اضافه کرد و بلافاصله با Realtime Database منتشر کرد. این تابع فقط در هنگام ثبت نام با استفاده از یک ماشه onCreate
فراخوانی می شود. پس از تنظیم ادعاهای سفارشی، آنها به تمام جلسات موجود و آینده منتشر می شوند. دفعه بعد که کاربر با اعتبار کاربری وارد می شود، توکن حاوی ادعاهای سفارشی است.
پیاده سازی سمت کلاینت (جاوا اسکریپت)
const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.catch(error => {
console.log(error);
});
let callback = null;
let metadataRef = null;
firebase.auth().onAuthStateChanged(user => {
// Remove previous listener.
if (callback) {
metadataRef.off('value', callback);
}
// On user login add new listener.
if (user) {
// Check if refresh is required.
metadataRef = firebase.database().ref('metadata/' + user.uid + '/refreshTime');
callback = (snapshot) => {
// Force refresh to pick up the latest custom claims changes.
// Note this is always triggered on first call. Further optimization could be
// added to avoid the initial trigger when the token is issued and already contains
// the latest claims.
user.getIdToken(true);
};
// Subscribe new listener to changes on that node.
metadataRef.on('value', callback);
}
});
منطق Cloud Functions
یک گره پایگاه داده جدید (metadata/($uid)} با خواندن/نوشتن محدود به کاربر احراز هویت شده اضافه شده است.
const functions = require('firebase-functions');
const { initializeApp } = require('firebase-admin/app');
const { getAuth } = require('firebase-admin/auth');
const { getDatabase } = require('firebase-admin/database');
initializeApp();
// On sign up.
exports.processSignUp = functions.auth.user().onCreate(async (user) => {
// Check if user meets role criteria.
if (
user.email &&
user.email.endsWith('@admin.example.com') &&
user.emailVerified
) {
const customClaims = {
admin: true,
accessLevel: 9
};
try {
// Set custom user claims on this newly created user.
await getAuth().setCustomUserClaims(user.uid, customClaims);
// Update real-time database to notify client to force refresh.
const metadataRef = getDatabase().ref('metadata/' + user.uid);
// Set the refresh time to the current UTC timestamp.
// This will be captured on the client to force a token refresh.
await metadataRef.set({refreshTime: new Date().getTime()});
} catch (error) {
console.log(error);
}
}
});
قوانین پایگاه داده
{
"rules": {
"metadata": {
"$user_id": {
// Read access only granted to the authenticated user.
".read": "$user_id === auth.uid",
// Write access only via Admin SDK.
".write": false
}
}
}
}
تعریف نقش ها از طریق درخواست HTTP
مثال زیر ادعاهای کاربر سفارشی را در مورد یک کاربر تازه وارد شده از طریق یک درخواست HTTP تنظیم می کند.
پیاده سازی سمت کلاینت (جاوا اسکریپت)
const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.then((result) => {
// User is signed in. Get the ID token.
return result.user.getIdToken();
})
.then((idToken) => {
// Pass the ID token to the server.
$.post(
'/setCustomClaims',
{
idToken: idToken
},
(data, status) => {
// This is not required. You could just wait until the token is expired
// and it proactively refreshes.
if (status == 'success' && data) {
const json = JSON.parse(data);
if (json && json.status == 'success') {
// Force token refresh. The token claims will contain the additional claims.
firebase.auth().currentUser.getIdToken(true);
}
}
});
}).catch((error) => {
console.log(error);
});
پیاده سازی Backend (Admin SDK)
app.post('/setCustomClaims', async (req, res) => {
// Get the ID token passed.
const idToken = req.body.idToken;
// Verify the ID token and decode its payload.
const claims = await getAuth().verifyIdToken(idToken);
// Verify user is eligible for additional privileges.
if (
typeof claims.email !== 'undefined' &&
typeof claims.email_verified !== 'undefined' &&
claims.email_verified &&
claims.email.endsWith('@admin.example.com')
) {
// Add custom claims for additional privileges.
await getAuth().setCustomUserClaims(claims.sub, {
admin: true
});
// Tell client to refresh token on user.
res.end(JSON.stringify({
status: 'success'
}));
} else {
// Return nothing.
res.end(JSON.stringify({ status: 'ineligible' }));
}
});
همین جریان را می توان هنگام ارتقاء سطح دسترسی کاربر موجود استفاده کرد. برای مثال ارتقای رایگان کاربر به اشتراک پولی را در نظر بگیرید. رمز شناسه کاربر به همراه اطلاعات پرداخت از طریق یک درخواست HTTP به سرور باطن ارسال می شود. هنگامی که پرداخت با موفقیت پردازش شد، کاربر به عنوان مشترک پولی از طریق Admin SDK تنظیم می شود. یک پاسخ HTTP موفق به مشتری بازگردانده میشود تا اجباری بهروزرسانی نشانه باشد.
تعریف نقش ها از طریق اسکریپت باطن
یک اسکریپت تکرارشونده (که از مشتری شروع نشده است) را می توان برای به روز رسانی ادعاهای سفارشی کاربر تنظیم کرد:
Node.js
getAuth()
.getUserByEmail('user@admin.example.com')
.then((user) => {
// Confirm user is verified.
if (user.emailVerified) {
// Add custom claims for additional privileges.
// This will be picked up by the user on token refresh or next sign in on new device.
return getAuth().setCustomUserClaims(user.uid, {
admin: true,
});
}
})
.catch((error) => {
console.log(error);
});
جاوا
UserRecord user = FirebaseAuth.getInstance()
.getUserByEmail("user@admin.example.com");
// Confirm user is verified.
if (user.isEmailVerified()) {
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), claims);
}
پایتون
user = auth.get_user_by_email('user@admin.example.com')
# Confirm user is verified
if user.email_verified:
# Add custom claims for additional privileges.
# This will be picked up by the user on token refresh or next sign in on new device.
auth.set_custom_user_claims(user.uid, {
'admin': True
})
برو
user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
log.Fatal(err)
}
// Confirm user is verified
if user.EmailVerified {
// Add custom claims for additional privileges.
// This will be picked up by the user on token refresh or next sign in on new device.
err := client.SetCustomUserClaims(ctx, user.UID, map[string]interface{}{"admin": true})
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
}
سی شارپ
UserRecord user = await FirebaseAuth.DefaultInstance
.GetUserByEmailAsync("user@admin.example.com");
// Confirm user is verified.
if (user.EmailVerified)
{
var claims = new Dictionary<string, object>()
{
{ "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}
ادعاهای سفارشی را میتوان بهصورت تدریجی از طریق Admin SDK تغییر داد:
Node.js
getAuth()
.getUserByEmail('user@admin.example.com')
.then((user) => {
// Add incremental custom claim without overwriting existing claims.
const currentCustomClaims = user.customClaims;
if (currentCustomClaims['admin']) {
// Add level.
currentCustomClaims['accessLevel'] = 10;
// Add custom claims for additional privileges.
return getAuth().setCustomUserClaims(user.uid, currentCustomClaims);
}
})
.catch((error) => {
console.log(error);
});
جاوا
UserRecord user = FirebaseAuth.getInstance()
.getUserByEmail("user@admin.example.com");
// Add incremental custom claim without overwriting the existing claims.
Map<String, Object> currentClaims = user.getCustomClaims();
if (Boolean.TRUE.equals(currentClaims.get("admin"))) {
// Add level.
currentClaims.put("level", 10);
// Add custom claims for additional privileges.
FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), currentClaims);
}
پایتون
user = auth.get_user_by_email('user@admin.example.com')
# Add incremental custom claim without overwriting existing claims.
current_custom_claims = user.custom_claims
if current_custom_claims.get('admin'):
# Add level.
current_custom_claims['accessLevel'] = 10
# Add custom claims for additional privileges.
auth.set_custom_user_claims(user.uid, current_custom_claims)
برو
user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
log.Fatal(err)
}
// Add incremental custom claim without overwriting existing claims.
currentCustomClaims := user.CustomClaims
if currentCustomClaims == nil {
currentCustomClaims = map[string]interface{}{}
}
if _, found := currentCustomClaims["admin"]; found {
// Add level.
currentCustomClaims["accessLevel"] = 10
// Add custom claims for additional privileges.
err := client.SetCustomUserClaims(ctx, user.UID, currentCustomClaims)
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
}
سی شارپ
UserRecord user = await FirebaseAuth.DefaultInstance
.GetUserByEmailAsync("user@admin.example.com");
// Add incremental custom claims without overwriting the existing claims.
object isAdmin;
if (user.CustomClaims.TryGetValue("admin", out isAdmin) && (bool)isAdmin)
{
var claims = user.CustomClaims.ToDictionary(kvp => kvp.Key, kvp => kvp.Value);
// Add level.
var level = 10;
claims["level"] = level;
// Add custom claims for additional privileges.
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}