Firebase Admin SDK รองรับการกำหนดแอตทริบิวต์ที่กำหนดเองในบัญชีผู้ใช้ ซึ่งช่วยให้สามารถนำกลยุทธ์การควบคุมการเข้าถึงต่างๆ ไปใช้ รวมถึงการควบคุมการเข้าถึงตามบทบาทในแอป Firebase แอ็ตทริบิวต์แบบกำหนดเองเหล่านี้สามารถให้สิทธิ์การเข้าถึง (บทบาท) แก่ผู้ใช้ในระดับต่างๆ ซึ่งบังคับใช้ในกฎความปลอดภัยของแอปพลิเคชัน
บทบาทของผู้ใช้สามารถกำหนดได้ในกรณีทั่วไปต่อไปนี้:
- ให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ในการเข้าถึงข้อมูลและทรัพยากร
- การกำหนดกลุ่มต่างๆ ที่ผู้ใช้เป็นสมาชิก
- ให้การเข้าถึงหลายระดับ:
- ความแตกต่างของสมาชิกแบบชำระเงิน/ไม่ชำระเงิน
- ทำให้ผู้ดูแลแตกต่างจากผู้ใช้ทั่วไป
- ใบสมัครครู/นักเรียน ฯลฯ
- เพิ่มตัวระบุเพิ่มเติมให้กับผู้ใช้ ตัวอย่างเช่น ผู้ใช้ Firebase สามารถแมปกับ UID อื่นในระบบอื่นได้
ลองพิจารณากรณีที่คุณต้องการจำกัดการเข้าถึงโหนดฐานข้อมูล "adminContent" คุณสามารถทำได้ด้วยการค้นหาฐานข้อมูลในรายการผู้ใช้ผู้ดูแลระบบ อย่างไรก็ตาม คุณสามารถบรรลุวัตถุประสงค์เดียวกันได้อย่างมีประสิทธิภาพมากขึ้นโดยใช้การอ้างสิทธิ์ผู้ใช้แบบกำหนดเองที่ชื่อว่า admin พร้อมด้วยกฎฐานข้อมูลเรียลไทม์ต่อไปนี้:
{
"rules": {
"adminContent": {
".read": "auth.token.admin === true",
".write": "auth.token.admin === true",
}
}
}
การอ้างสิทธิ์ของผู้ใช้แบบกำหนดเองสามารถเข้าถึงได้ผ่านโทเค็นการตรวจสอบสิทธิ์ของผู้ใช้ ในตัวอย่างข้างต้น เฉพาะผู้ใช้ที่ admin ตั้งค่าเป็นจริงในการอ้างสิทธิ์โทเค็นเท่านั้นที่จะมีสิทธิ์อ่าน/เขียนโหนด adminContent เนื่องจากโทเค็น ID มีข้อยืนยันเหล่านี้อยู่แล้ว จึงไม่จำเป็นต้องมีการประมวลผลหรือการค้นหาเพิ่มเติมเพื่อตรวจสอบสิทธิ์ของผู้ดูแลระบบ นอกจากนี้ โทเค็น ID ยังเป็นกลไกที่เชื่อถือได้สำหรับส่งการเรียกร้องแบบกำหนดเองเหล่านี้ การเข้าถึงที่ได้รับการรับรองความถูกต้องทั้งหมดจะต้องตรวจสอบโทเค็น ID ก่อนที่จะประมวลผลคำขอที่เกี่ยวข้อง
ตัวอย่างโค้ดและวิธีแก้ปัญหาที่อธิบายในหน้านี้มาจากทั้ง Firebase Auth API ฝั่งไคลเอ็นต์และ Auth API ฝั่งเซิร์ฟเวอร์ที่ Admin SDK มอบให้
ตั้งค่าและตรวจสอบการอ้างสิทธิ์ของผู้ใช้ที่กำหนดเองผ่าน Admin SDK
การอ้างสิทธิ์ที่กำหนดเองอาจมีข้อมูลที่ละเอียดอ่อนได้ ดังนั้น Firebase Admin SDK จึงควรตั้งค่าจากสภาพแวดล้อมเซิร์ฟเวอร์ที่มีสิทธิ์เท่านั้น
โหนด js
// Set admin privilege on the user corresponding to uid.
getAuth()
.setCustomUserClaims(uid, { admin: true })
.then(() => {
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
});
ชวา
// Set admin privilege on the user corresponding to uid.
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
หลาม
# Set admin privilege on the user corresponding to uid.
auth.set_custom_user_claims(uid, {'admin': True})
# The new custom claims will propagate to the user's ID token the
# next time a new one is issued.
ไป
// Get an auth client from the firebase.App
client, err := app.Auth(ctx)
if err != nil {
log.Fatalf("error getting Auth client: %v\n", err)
}
// Set admin privilege on the user corresponding to uid.
claims := map[string]interface{}{"admin": true}
err = client.SetCustomUserClaims(ctx, uid, claims)
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
ค#
// Set admin privileges on the user corresponding to uid.
var claims = new Dictionary<string, object>()
{
{ "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
ออบเจ็กต์การอ้างสิทธิ์ที่กำหนดเองไม่ควรมีชื่อคีย์ที่สงวนไว้ของ OIDC หรือ ชื่อที่สงวนไว้ของ Firebase เพย์โหลดการอ้างสิทธิ์แบบกำหนดเองต้องไม่เกิน 1,000 ไบต์
โทเค็น ID ที่ส่งไปยังเซิร์ฟเวอร์แบ็กเอนด์สามารถยืนยันข้อมูลประจำตัวของผู้ใช้และระดับการเข้าถึงได้โดยใช้ Admin SDK ดังนี้:
โหนด js
// Verify the ID token first.
getAuth()
.verifyIdToken(idToken)
.then((claims) => {
if (claims.admin === true) {
// Allow access to requested admin resource.
}
});
ชวา
// Verify the ID token first.
FirebaseToken decoded = FirebaseAuth.getInstance().verifyIdToken(idToken);
if (Boolean.TRUE.equals(decoded.getClaims().get("admin"))) {
// Allow access to requested admin resource.
}
หลาม
# Verify the ID token first.
claims = auth.verify_id_token(id_token)
if claims['admin'] is True:
# Allow access to requested admin resource.
pass
ไป
// Verify the ID token first.
token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
log.Fatal(err)
}
claims := token.Claims
if admin, ok := claims["admin"]; ok {
if admin.(bool) {
//Allow access to requested admin resource.
}
}
ค#
// Verify the ID token first.
FirebaseToken decoded = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(idToken);
object isAdmin;
if (decoded.Claims.TryGetValue("admin", out isAdmin))
{
if ((bool)isAdmin)
{
// Allow access to requested admin resource.
}
}
คุณยังสามารถตรวจสอบการอ้างสิทธิ์แบบกำหนดเองที่มีอยู่ของผู้ใช้ได้ ซึ่งสามารถใช้เป็นคุณสมบัติบนออบเจ็กต์ผู้ใช้ได้:
โหนด js
// Lookup the user associated with the specified uid.
getAuth()
.getUser(uid)
.then((userRecord) => {
// The claims can be accessed on the user record.
console.log(userRecord.customClaims['admin']);
});
ชวา
// Lookup the user associated with the specified uid.
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
System.out.println(user.getCustomClaims().get("admin"));
หลาม
# Lookup the user associated with the specified uid.
user = auth.get_user(uid)
# The claims can be accessed on the user record.
print(user.custom_claims.get('admin'))
ไป
// Lookup the user associated with the specified uid.
user, err := client.GetUser(ctx, uid)
if err != nil {
log.Fatal(err)
}
// The claims can be accessed on the user record.
if admin, ok := user.CustomClaims["admin"]; ok {
if admin.(bool) {
log.Println(admin)
}
}
ค#
// Lookup the user associated with the specified uid.
UserRecord user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine(user.CustomClaims["admin"]);
คุณสามารถลบการอ้างสิทธิ์ที่กำหนดเองของผู้ใช้ได้โดยส่งค่า null สำหรับ customClaims
เผยแพร่การเรียกร้องแบบกำหนดเองไปยังลูกค้า
หลังจากแก้ไขการอ้างสิทธิ์ใหม่กับผู้ใช้ผ่าน Admin SDK แล้ว การอ้างสิทธิ์ดังกล่าวจะเผยแพร่ไปยังผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ในฝั่งไคลเอ็นต์ผ่านโทเค็น ID ด้วยวิธีต่อไปนี้:
- ผู้ใช้ลงชื่อเข้าใช้หรือตรวจสอบสิทธิ์อีกครั้งหลังจากแก้ไขการอ้างสิทธิ์แบบกำหนดเอง โทเค็น ID ที่ออกเป็นผลให้จะมีการอ้างสิทธิ์ล่าสุด
- เซสชันผู้ใช้ที่มีอยู่จะได้รับการรีเฟรชโทเค็น ID หลังจากโทเค็นเก่าหมดอายุ
- โทเค็น ID ถูกบังคับรีเฟรชโดยการเรียก
currentUser.getIdToken(true)
เข้าถึงการอ้างสิทธิ์แบบกำหนดเองบนไคลเอนต์
การอ้างสิทธิ์ที่กำหนดเองสามารถรับได้ผ่านโทเค็น ID ของผู้ใช้เท่านั้น การเข้าถึงการอ้างสิทธิ์เหล่านี้อาจจำเป็นเพื่อแก้ไข UI ไคลเอนต์ตามบทบาทของผู้ใช้หรือระดับการเข้าถึง อย่างไรก็ตาม การเข้าถึงแบ็กเอนด์ควรบังคับใช้ผ่านโทเค็น ID เสมอ หลังจากตรวจสอบความถูกต้องและแยกวิเคราะห์การอ้างสิทธิ์แล้ว ไม่ควรส่งการอ้างสิทธิ์แบบกำหนดเองไปยังแบ็กเอนด์โดยตรง เนื่องจากไม่สามารถเชื่อถือได้ภายนอกโทเค็น
เมื่อการอ้างสิทธิ์ล่าสุดได้เผยแพร่ไปยังโทเค็น ID ของผู้ใช้แล้ว คุณสามารถรับได้โดยการรับโทเค็น ID:
จาวาสคริปต์
firebase.auth().currentUser.getIdTokenResult()
.then((idTokenResult) => {
// Confirm the user is an Admin.
if (!!idTokenResult.claims.admin) {
// Show admin UI.
showAdminUI();
} else {
// Show regular user UI.
showRegularUI();
}
})
.catch((error) => {
console.log(error);
});
หุ่นยนต์
user.getIdToken(false).addOnSuccessListener(new OnSuccessListener<GetTokenResult>() {
@Override
public void onSuccess(GetTokenResult result) {
boolean isAdmin = result.getClaims().get("admin");
if (isAdmin) {
// Show admin UI.
showAdminUI();
} else {
// Show regular user UI.
showRegularUI();
}
}
});
สวิฟท์
user.getIDTokenResult(completion: { (result, error) in
guard let admin = result?.claims?["admin"] as? NSNumber else {
// Show regular user UI.
showRegularUI()
return
}
if admin.boolValue {
// Show admin UI.
showAdminUI()
} else {
// Show regular user UI.
showRegularUI()
}
})
วัตถุประสงค์-C
user.getIDTokenResultWithCompletion:^(FIRAuthTokenResult *result,
NSError *error) {
if (error != nil) {
BOOL *admin = [result.claims[@"admin"] boolValue];
if (admin) {
// Show admin UI.
[self showAdminUI];
} else {
// Show regular user UI.
[self showRegularUI];
}
}
}];
แนวทางปฏิบัติที่ดีที่สุดสำหรับการกล่าวอ้างแบบกำหนดเอง
การอ้างสิทธิ์แบบกำหนดเองใช้เพื่อควบคุมการเข้าถึงเท่านั้น ไม่ได้ออกแบบมาเพื่อจัดเก็บข้อมูลเพิ่มเติม (เช่น โปรไฟล์และข้อมูลที่กำหนดเองอื่นๆ) แม้ว่าสิ่งนี้อาจดูเหมือนเป็นกลไกที่สะดวกในการดำเนินการดังกล่าว แต่ก็ไม่แนะนำอย่างยิ่งเนื่องจากการอ้างสิทธิ์เหล่านี้ถูกจัดเก็บไว้ในโทเค็น ID และอาจทำให้เกิดปัญหาด้านประสิทธิภาพได้ เนื่องจากคำขอที่ได้รับการตรวจสอบสิทธิ์ทั้งหมดจะมีโทเค็น Firebase ID ที่สอดคล้องกับผู้ใช้ที่ลงชื่อเข้าใช้เสมอ
- ใช้การอ้างสิทธิ์ที่กำหนดเองเพื่อจัดเก็บข้อมูลเพื่อควบคุมการเข้าถึงของผู้ใช้เท่านั้น ข้อมูลอื่นๆ ทั้งหมดควรจัดเก็บแยกกันผ่านฐานข้อมูลเรียลไทม์หรือที่เก็บข้อมูลฝั่งเซิร์ฟเวอร์อื่นๆ
- การเรียกร้องแบบกำหนดเองมีขนาดจำกัด การส่งผ่านเพย์โหลดการอ้างสิทธิ์แบบกำหนดเองที่มากกว่า 1,000 ไบต์จะทำให้เกิดข้อผิดพลาด
ตัวอย่างและกรณีการใช้งาน
ตัวอย่างต่อไปนี้แสดงการกล่าวอ้างที่กำหนดเองในบริบทของกรณีการใช้งาน Firebase ที่เฉพาะเจาะจง
การกำหนดบทบาทผ่านฟังก์ชัน Firebase ในการสร้างผู้ใช้
ในตัวอย่างนี้ การอ้างสิทธิ์แบบกำหนดเองจะถูกตั้งค่าให้กับผู้ใช้ที่สร้างโดยใช้ฟังก์ชันคลาวด์
คุณสามารถเพิ่มการอ้างสิทธิ์แบบกำหนดเองได้โดยใช้ฟังก์ชันคลาวด์ และเผยแพร่ทันทีด้วยฐานข้อมูลเรียลไทม์ ฟังก์ชันนี้จะถูกเรียกใช้เฉพาะเมื่อสมัครใช้งานโดยใช้ทริกเกอร์ onCreate เมื่อตั้งค่าการอ้างสิทธิ์ที่กำหนดเองแล้ว การอ้างสิทธิ์จะเผยแพร่ไปยังเซสชันที่มีอยู่และในอนาคตทั้งหมด ครั้งถัดไปที่ผู้ใช้ลงชื่อเข้าใช้ด้วยข้อมูลประจำตัวผู้ใช้ โทเค็นจะมีการอ้างสิทธิ์แบบกำหนดเอง
การใช้งานฝั่งไคลเอ็นต์ (JavaScript)
const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.catch(error => {
console.log(error);
});
let callback = null;
let metadataRef = null;
firebase.auth().onAuthStateChanged(user => {
// Remove previous listener.
if (callback) {
metadataRef.off('value', callback);
}
// On user login add new listener.
if (user) {
// Check if refresh is required.
metadataRef = firebase.database().ref('metadata/' + user.uid + '/refreshTime');
callback = (snapshot) => {
// Force refresh to pick up the latest custom claims changes.
// Note this is always triggered on first call. Further optimization could be
// added to avoid the initial trigger when the token is issued and already contains
// the latest claims.
user.getIdToken(true);
};
// Subscribe new listener to changes on that node.
metadataRef.on('value', callback);
}
});
ตรรกะของฟังก์ชันคลาวด์
มีการเพิ่มโหนดฐานข้อมูลใหม่ (metadata/($uid)} ที่จำกัดการอ่าน/เขียนเฉพาะผู้ใช้ที่ได้รับการรับรองความถูกต้อง
const functions = require('firebase-functions');
const { initializeApp } = require('firebase-admin/app');
const { getAuth } = require('firebase-admin/auth');
const { getDatabase } = require('firebase-admin/database');
initializeApp();
// On sign up.
exports.processSignUp = functions.auth.user().onCreate(async (user) => {
// Check if user meets role criteria.
if (
user.email &&
user.email.endsWith('@admin.example.com') &&
user.emailVerified
) {
const customClaims = {
admin: true,
accessLevel: 9
};
try {
// Set custom user claims on this newly created user.
await getAuth().setCustomUserClaims(user.uid, customClaims);
// Update real-time database to notify client to force refresh.
const metadataRef = getDatabase().ref('metadata/' + user.uid);
// Set the refresh time to the current UTC timestamp.
// This will be captured on the client to force a token refresh.
await metadataRef.set({refreshTime: new Date().getTime()});
} catch (error) {
console.log(error);
}
}
});
กฎฐานข้อมูล
{
"rules": {
"metadata": {
"$user_id": {
// Read access only granted to the authenticated user.
".read": "$user_id === auth.uid",
// Write access only via Admin SDK.
".write": false
}
}
}
}
การกำหนดบทบาทผ่านการร้องขอ HTTP
ตัวอย่างต่อไปนี้ตั้งค่าการอ้างสิทธิ์ของผู้ใช้แบบกำหนดเองสำหรับผู้ใช้ที่ลงชื่อเข้าใช้ใหม่ผ่านคำขอ HTTP
การใช้งานฝั่งไคลเอ็นต์ (JavaScript)
const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.then((result) => {
// User is signed in. Get the ID token.
return result.user.getIdToken();
})
.then((idToken) => {
// Pass the ID token to the server.
$.post(
'/setCustomClaims',
{
idToken: idToken
},
(data, status) => {
// This is not required. You could just wait until the token is expired
// and it proactively refreshes.
if (status == 'success' && data) {
const json = JSON.parse(data);
if (json && json.status == 'success') {
// Force token refresh. The token claims will contain the additional claims.
firebase.auth().currentUser.getIdToken(true);
}
}
});
}).catch((error) => {
console.log(error);
});
การใช้งานแบ็กเอนด์ (Admin SDK)
app.post('/setCustomClaims', async (req, res) => {
// Get the ID token passed.
const idToken = req.body.idToken;
// Verify the ID token and decode its payload.
const claims = await getAuth().verifyIdToken(idToken);
// Verify user is eligible for additional privileges.
if (
typeof claims.email !== 'undefined' &&
typeof claims.email_verified !== 'undefined' &&
claims.email_verified &&
claims.email.endsWith('@admin.example.com')
) {
// Add custom claims for additional privileges.
await getAuth().setCustomUserClaims(claims.sub, {
admin: true
});
// Tell client to refresh token on user.
res.end(JSON.stringify({
status: 'success'
}));
} else {
// Return nothing.
res.end(JSON.stringify({ status: 'ineligible' }));
}
});
สามารถใช้โฟลว์เดียวกันนี้เมื่ออัปเกรดระดับการเข้าถึงของผู้ใช้ที่มีอยู่ ยกตัวอย่างผู้ใช้ฟรีที่อัปเกรดเป็นการสมัครสมาชิกแบบชำระเงิน โทเค็น ID ของผู้ใช้จะถูกส่งพร้อมข้อมูลการชำระเงินไปยังเซิร์ฟเวอร์แบ็กเอนด์ผ่านการร้องขอ HTTP เมื่อประมวลผลการชำระเงินสำเร็จ ผู้ใช้จะถูกตั้งค่าเป็นสมาชิกแบบชำระเงินผ่าน Admin SDK การตอบสนอง HTTP ที่สำเร็จจะถูกส่งกลับไปยังไคลเอนต์เพื่อบังคับให้รีเฟรชโทเค็น
การกำหนดบทบาทผ่านสคริปต์แบ็กเอนด์
สามารถตั้งค่าสคริปต์ที่เกิดซ้ำ (ไม่ได้เริ่มต้นจากไคลเอนต์) เพื่อรันเพื่ออัปเดตการอ้างสิทธิ์แบบกำหนดเองของผู้ใช้:
โหนด js
getAuth()
.getUserByEmail('user@admin.example.com')
.then((user) => {
// Confirm user is verified.
if (user.emailVerified) {
// Add custom claims for additional privileges.
// This will be picked up by the user on token refresh or next sign in on new device.
return getAuth().setCustomUserClaims(user.uid, {
admin: true,
});
}
})
.catch((error) => {
console.log(error);
});
ชวา
UserRecord user = FirebaseAuth.getInstance()
.getUserByEmail("user@admin.example.com");
// Confirm user is verified.
if (user.isEmailVerified()) {
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), claims);
}
หลาม
user = auth.get_user_by_email('user@admin.example.com')
# Confirm user is verified
if user.email_verified:
# Add custom claims for additional privileges.
# This will be picked up by the user on token refresh or next sign in on new device.
auth.set_custom_user_claims(user.uid, {
'admin': True
})
ไป
user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
log.Fatal(err)
}
// Confirm user is verified
if user.EmailVerified {
// Add custom claims for additional privileges.
// This will be picked up by the user on token refresh or next sign in on new device.
err := client.SetCustomUserClaims(ctx, user.UID, map[string]interface{}{"admin": true})
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
}
ค#
UserRecord user = await FirebaseAuth.DefaultInstance
.GetUserByEmailAsync("user@admin.example.com");
// Confirm user is verified.
if (user.EmailVerified)
{
var claims = new Dictionary<string, object>()
{
{ "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}
การอ้างสิทธิ์แบบกำหนดเองยังสามารถแก้ไขได้แบบค่อยเป็นค่อยไปผ่าน Admin SDK:
โหนด js
getAuth()
.getUserByEmail('user@admin.example.com')
.then((user) => {
// Add incremental custom claim without overwriting existing claims.
const currentCustomClaims = user.customClaims;
if (currentCustomClaims['admin']) {
// Add level.
currentCustomClaims['accessLevel'] = 10;
// Add custom claims for additional privileges.
return getAuth().setCustomUserClaims(user.uid, currentCustomClaims);
}
})
.catch((error) => {
console.log(error);
});
ชวา
UserRecord user = FirebaseAuth.getInstance()
.getUserByEmail("user@admin.example.com");
// Add incremental custom claim without overwriting the existing claims.
Map<String, Object> currentClaims = user.getCustomClaims();
if (Boolean.TRUE.equals(currentClaims.get("admin"))) {
// Add level.
currentClaims.put("level", 10);
// Add custom claims for additional privileges.
FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), currentClaims);
}
หลาม
user = auth.get_user_by_email('user@admin.example.com')
# Add incremental custom claim without overwriting existing claims.
current_custom_claims = user.custom_claims
if current_custom_claims.get('admin'):
# Add level.
current_custom_claims['accessLevel'] = 10
# Add custom claims for additional privileges.
auth.set_custom_user_claims(user.uid, current_custom_claims)
ไป
user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
log.Fatal(err)
}
// Add incremental custom claim without overwriting existing claims.
currentCustomClaims := user.CustomClaims
if currentCustomClaims == nil {
currentCustomClaims = map[string]interface{}{}
}
if _, found := currentCustomClaims["admin"]; found {
// Add level.
currentCustomClaims["accessLevel"] = 10
// Add custom claims for additional privileges.
err := client.SetCustomUserClaims(ctx, user.UID, currentCustomClaims)
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
}
ค#
UserRecord user = await FirebaseAuth.DefaultInstance
.GetUserByEmailAsync("user@admin.example.com");
// Add incremental custom claims without overwriting the existing claims.
object isAdmin;
if (user.CustomClaims.TryGetValue("admin", out isAdmin) && (bool)isAdmin)
{
var claims = new Dictionary<string, object>(user.CustomClaims);
// Add level.
claims["level"] = 10;
// Add custom claims for additional privileges.
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}