Zarządzaj sesjami użytkowników

Sesje uwierzytelniania Firebase trwają długo. Za każdym razem, gdy użytkownik się loguje, poświadczenia użytkownika są wysyłane do zaplecza uwierzytelniania Firebase i wymieniane na token identyfikatora Firebase (JWT) i token odświeżania. Tokeny Firebase ID są krótkotrwałe i wytrzymują godzinę; token odświeżania może służyć do pobierania nowych tokenów ID. Tokeny odświeżania wygasają tylko wtedy, gdy wystąpi jedna z następujących sytuacji:

  • Użytkownik został usunięty
  • Użytkownik jest wyłączony
  • Wykryto poważną zmianę konta dla użytkownika. Obejmuje to zdarzenia, takie jak aktualizacje hasła lub adresu e-mail.

Pakiet Firebase Admin SDK umożliwia unieważnienie tokenów odświeżania dla określonego użytkownika. Ponadto udostępniany jest również interfejs API do sprawdzania, czy token identyfikacyjny został odwołany. Dzięki tym możliwościom masz większą kontrolę nad sesjami użytkowników. SDK zapewnia możliwość dodawania ograniczeń, aby uniemożliwić korzystanie z sesji w podejrzanych okolicznościach, a także mechanizm odzyskiwania po potencjalnej kradzieży tokena.

Odwołaj tokeny odświeżania

Możesz unieważnić istniejący token odświeżania użytkownika, gdy użytkownik zgłosi zgubione lub skradzione urządzenie. Podobnie, jeśli okaże się, ogólną usterkę lub podejrzewasz szeroką skalę wycieku aktywnych żetonów, można użyć listUsers API zajrzeć do wszystkich użytkowników i odwołać swoje żetony dla określonego projektu.

Resetowanie hasła unieważnia również istniejące tokeny użytkownika; jednak backend Firebase Authentication obsługuje w takim przypadku odwołanie automatycznie. Po unieważnieniu użytkownik zostaje wylogowany i poproszony o ponowne uwierzytelnienie.

Oto przykładowa implementacja, która używa pakietu Admin SDK do odwołania tokenu odświeżania danego użytkownika. Aby zainicjować Admin SDK postępuj zgodnie z instrukcjami na stronie konfiguracji .

Node.js

// Revoke all refresh tokens for a specified user for whatever reason.
// Retrieve the timestamp of the revocation, in seconds since the epoch.
admin
  .auth()
  .revokeRefreshTokens(uid)
  .then(() => {
    return admin.auth().getUser(uid);
  })
  .then((userRecord) => {
    return new Date(userRecord.tokensValidAfterTime).getTime() / 1000;
  })
  .then((timestamp) => {
    console.log(`Tokens revoked at: ${timestamp}`);
  });

Jawa

FirebaseAuth.getInstance().revokeRefreshTokens(uid);
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
// Convert to seconds as the auth_time in the token claims is in seconds too.
long revocationSecond = user.getTokensValidAfterTimestamp() / 1000;
System.out.println("Tokens revoked at: " + revocationSecond);

Pyton

# Revoke tokens on the backend.
auth.revoke_refresh_tokens(uid)
user = auth.get_user(uid)
# Convert to seconds as the auth_time in the token claims is in seconds.
revocation_second = user.tokens_valid_after_timestamp / 1000
print('Tokens revoked at: {0}'.format(revocation_second))

Udać się

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}
if err := client.RevokeRefreshTokens(ctx, uid); err != nil {
	log.Fatalf("error revoking tokens for user: %v, %v\n", uid, err)
}
// accessing the user's TokenValidAfter
u, err := client.GetUser(ctx, uid)
if err != nil {
	log.Fatalf("error getting user %s: %v\n", uid, err)
}
timestamp := u.TokensValidAfterMillis / 1000
log.Printf("the refresh tokens were revoked at: %d (UTC seconds) ", timestamp)

DO#

await FirebaseAuth.DefaultInstance.RevokeRefreshTokensAsync(uid);
var user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine("Tokens revoked at: " + user.TokensValidAfterTimestamp);

Wykryj unieważnienie tokena ID

Ponieważ tokeny Firebase ID są bezstanowymi tokenami JWT, możesz stwierdzić, że token został odwołany tylko przez żądanie stanu tokenu z zaplecza uwierzytelniania Firebase. Z tego powodu wykonanie tego sprawdzenia na serwerze jest kosztowną operacją, wymagającą dodatkowej podróży w obie strony przez sieć. Możesz uniknąć wysyłania tego żądania sieciowego, konfigurując reguły Firebase, które sprawdzają unieważnienie, zamiast używać pakietu Admin SDK do sprawdzania.

Wykryj unieważnienie tokena ID w regułach bazy danych

Aby móc wykryć unieważnienie tokena ID za pomocą reguł bazy danych, musimy najpierw przechowywać pewne metadane specyficzne dla użytkownika.

Zaktualizuj metadane użytkownika w Bazie danych czasu rzeczywistego Firebase.

Zapisz sygnaturę czasową odwołania tokena odświeżania. Jest to potrzebne do śledzenia odwołania tokena identyfikatora za pomocą reguł Firebase. Pozwala to na sprawną kontrolę w bazie danych. W próbkach kodu poniżej, użyj uid i czas odwołania otrzymanego w poprzednim rozdziale .

Node.js

const metadataRef = admin.database().ref('metadata/' + uid);
metadataRef.set({ revokeTime: utcRevocationTimeSecs }).then(() => {
  console.log('Database updated successfully.');
});

Jawa

DatabaseReference ref = FirebaseDatabase.getInstance().getReference("metadata/" + uid);
Map<String, Object> userData = new HashMap<>();
userData.put("revokeTime", revocationSecond);
ref.setValueAsync(userData);

Pyton

metadata_ref = firebase_admin.db.reference("metadata/" + uid)
metadata_ref.set({'revokeTime': revocation_second})

Dodaj czek do reguł bazy danych

Aby wymusić tę kontrolę, skonfiguruj regułę bez dostępu klienta do zapisu do przechowywania czasu odwołania na użytkownika. Można to zaktualizować za pomocą znacznika czasu UTC ostatniego czasu odwołania, jak pokazano w poprzednich przykładach:

{
  "rules": {
    "metadata": {
      "$user_id": {
        // this could be false as it is only accessed from backend or rules.
        ".read": "$user_id === auth.uid",
        ".write": "false",
      }
    }
  }
}

Wszelkie dane wymagające uwierzytelnionego dostępu muszą mieć skonfigurowaną następującą regułę. Ta logika pozwala tylko uwierzytelnionym użytkownikom z nieodwołanymi tokenami ID na dostęp do chronionych danych:

{
  "rules": {
    "users": {
      "$user_id": {
        ".read": "auth != null && $user_id === auth.uid && (
            !root.child('metadata').child(auth.uid).child('revokeTime').exists()
          || auth.token.auth_time > root.child('metadata').child(auth.uid).child('revokeTime').val()
        )",
        ".write": "auth != null && $user_id === auth.uid && (
            !root.child('metadata').child(auth.uid).child('revokeTime').exists()
          || auth.token.auth_time > root.child('metadata').child(auth.uid).child('revokeTime').val()
        )",
      }
    }
  }
}

Wykryj unieważnienie tokena ID w pakiecie SDK.

Na serwerze zaimplementuj następującą logikę odwołania tokena odświeżania i walidacji tokenu identyfikatora:

Kiedy znacznik ID użytkownika ma być weryfikowana, dodatkowy checkRevoked logiczna flaga ma być przekazane do verifyIdToken . Jeśli token użytkownika zostanie unieważniony, należy go wylogować na kliencie lub poprosić o ponowne uwierzytelnienie przy użyciu interfejsów API ponownego uwierzytelniania udostępnianych przez pakiety SDK klienta Firebase Authentication.

Aby zainicjować Admin SDK dla danej platformy, postępuj zgodnie z instrukcjami na stronie konfiguracji . Przykłady pobraniu token identyfikacyjny są w verifyIdToken sekcji.

Node.js

// Verify the ID token while checking if the token is revoked by passing
// checkRevoked true.
let checkRevoked = true;
admin
  .auth()
  .verifyIdToken(idToken, checkRevoked)
  .then((payload) => {
    // Token is valid.
  })
  .catch((error) => {
    if (error.code == 'auth/id-token-revoked') {
      // Token has been revoked. Inform the user to reauthenticate or signOut() the user.
    } else {
      // Token is invalid.
    }
  });

Jawa

try {
  // Verify the ID token while checking if the token is revoked by passing checkRevoked
  // as true.
  boolean checkRevoked = true;
  FirebaseToken decodedToken = FirebaseAuth.getInstance()
      .verifyIdToken(idToken, checkRevoked);
  // Token is valid and not revoked.
  String uid = decodedToken.getUid();
} catch (FirebaseAuthException e) {
  if (e.getAuthErrorCode() == AuthErrorCode.REVOKED_ID_TOKEN) {
    // Token has been revoked. Inform the user to re-authenticate or signOut() the user.
  } else {
    // Token is invalid.
  }
}

Pyton

try:
    # Verify the ID token while checking if the token is revoked by
    # passing check_revoked=True.
    decoded_token = auth.verify_id_token(id_token, check_revoked=True)
    # Token is valid and not revoked.
    uid = decoded_token['uid']
except auth.RevokedIdTokenError:
    # Token revoked, inform the user to reauthenticate or signOut().
    pass
except auth.InvalidIdTokenError:
    # Token is invalid
    pass

Udać się

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}
token, err := client.VerifyIDTokenAndCheckRevoked(ctx, idToken)
if err != nil {
	if err.Error() == "ID token has been revoked" {
		// Token is revoked. Inform the user to reauthenticate or signOut() the user.
	} else {
		// Token is invalid
	}
}
log.Printf("Verified ID token: %v\n", token)

DO#

try
{
    // Verify the ID token while checking if the token is revoked by passing checkRevoked
    // as true.
    bool checkRevoked = true;
    var decodedToken = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(
        idToken, checkRevoked);
    // Token is valid and not revoked.
    string uid = decodedToken.Uid;
}
catch (FirebaseAuthException ex)
{
    if (ex.AuthErrorCode == AuthErrorCode.RevokedIdToken)
    {
        // Token has been revoked. Inform the user to re-authenticate or signOut() the user.
    }
    else
    {
        // Token is invalid.
    }
}

Odpowiedz na unieważnienie tokena na kliencie

Jeśli token zostanie unieważniony za pomocą pakietu Admin SDK, klient zostanie poinformowany o unieważnieniu, a użytkownik powinien ponownie się uwierzytelnić lub zostanie wylogowany:

function onIdTokenRevocation() {
  // For an email/password user. Prompt the user for the password again.
  let password = prompt('Please provide your password for reauthentication');
  let credential = firebase.auth.EmailAuthProvider.credential(
      firebase.auth().currentUser.email, password);
  firebase.auth().currentUser.reauthenticateWithCredential(credential)
    .then(result => {
      // User successfully reauthenticated. New ID tokens should be valid.
    })
    .catch(error => {
      // An error occurred.
    });
}

Zaawansowane zabezpieczenia: wymuszaj ograniczenia adresów IP

Powszechnym mechanizmem bezpieczeństwa służącym do wykrywania kradzieży tokenów jest śledzenie pochodzenia adresu IP żądania. Na przykład, jeśli żądania zawsze przychodzą z tego samego adresu IP (serwer wykonujący połączenie), można wymusić sesje z jednym adresem IP. Możesz też unieważnić token użytkownika, jeśli wykryjesz, że adres IP użytkownika nagle zmienił geolokalizację lub otrzymasz żądanie z podejrzanego pochodzenia.

Aby przeprowadzić kontrolę bezpieczeństwa na podstawie adresu IP, dla każdego uwierzytelnionego żądania sprawdź token ID i sprawdź, czy adres IP żądania jest zgodny z poprzednimi zaufanymi adresami IP lub czy znajduje się w zaufanym zakresie przed zezwoleniem na dostęp do ograniczonych danych. Na przykład:

app.post('/getRestrictedData', (req, res) => {
  // Get the ID token passed.
  const idToken = req.body.idToken;
  // Verify the ID token, check if revoked and decode its payload.
  admin.auth().verifyIdToken(idToken, true).then((claims) => {
    // Get the user's previous IP addresses, previously saved.
    return getPreviousUserIpAddresses(claims.sub);
  }).then(previousIpAddresses => {
    // Get the request IP address.
    const requestIpAddress = req.connection.remoteAddress;
    // Check if the request IP address origin is suspicious relative to previous
    // IP addresses. The current request timestamp and the auth_time of the ID
    // token can provide additional signals of abuse especially if the IP address
    // suddenly changed. If there was a sudden location change in a
    // short period of time, then it will give stronger signals of possible abuse.
    if (!isValidIpAddress(previousIpAddresses, requestIpAddress)) {
      // Invalid IP address, take action quickly and revoke all user's refresh tokens.
      revokeUserTokens(claims.uid).then(() => {
        res.status(401).send({error: 'Unauthorized access. Please login again!'});
      }, error => {
        res.status(401).send({error: 'Unauthorized access. Please login again!'});
      });
    } else {
      // Access is valid. Try to return data.
      getData(claims).then(data => {
        res.end(JSON.stringify(data);
      }, error => {
        res.status(500).send({ error: 'Server error!' })
      });
    }
  });
});