Save the date for Firebase Demo Day 2024. Learn how to build and run modern, AI-powered apps users love. Learn more.

Ta strona została przetłumaczona przez Cloud Translation API.

Zweryfikuj tokeny tożsamości

Jeśli aplikacja kliencka Firebase komunikuje się z niestandardowym serwerem backendu, może być konieczne zidentyfikowanie aktualnie zalogowanego użytkownika na tym serwerze. Aby to zrobić: po zalogowaniu się bezpiecznie wyślij token identyfikatora użytkownika na swój serwer za pomocą protokołu HTTPS. Następnie na serwerze zweryfikuj integralność i autentyczność Identyfikator i pobierz z niego identyfikator uid. uid przesyłanych w w ten sposób można bezpiecznie zidentyfikować obecnie zalogowanego użytkownika na serwerze.

Zanim zaczniesz

Aby weryfikować tokeny tożsamości za pomocą pakietu Firebase Admin SDK, musisz mieć usługę koncie. Postępuj zgodnie z instrukcjami konfiguracji pakietu Admin SDK, aby uzyskać dostęp do Dowiedz się więcej o tym, jak zainicjować pakiet Admin SDK za pomocą konta usługi.

Pobieranie tokenów tożsamości z klientów

Gdy użytkownik lub urządzenie zaloguje się prawidłowo, Firebase tworzy Token tożsamości, który jednoznacznie je identyfikuje i przyznaje dostęp do takie jak Firebase Realtime Database i Cloud Storage. Dostępne opcje ponowne użycie tego tokena identyfikatora do identyfikacji użytkownika lub urządzenia w niestandardowym backendzie serwera. Aby pobrać token identyfikatora od klienta, użytkownik musi być podpisany i pobierz token identyfikatora od zalogowanego użytkownika:

iOS+

Objective-C

FIRUser *currentUser = [FIRAuth auth].currentUser;
[currentUser getIDTokenForcingRefresh:YES
                           completion:^(NSString *_Nullable idToken,
                                        NSError *_Nullable error) {
          if (error) {
            // Handle error
            return;
          }

          // Send token to your backend via HTTPS
          // ...
}];

Swift

let currentUser = FIRAuth.auth()?.currentUser
currentUser?.getIDTokenForcingRefresh(true) { idToken, error in
  if let error = error {
    // Handle error
    return;
  }

  // Send token to your backend via HTTPS
  // ...
}

Android

FirebaseUser mUser = FirebaseAuth.getInstance().getCurrentUser();
mUser.getIdToken(true)
    .addOnCompleteListener(new OnCompleteListener<GetTokenResult>() {
        public void onComplete(@NonNull Task<GetTokenResult> task) {
            if (task.isSuccessful()) {
                String idToken = task.getResult().getToken();
                // Send token to your backend via HTTPS
                // ...
            } else {
                // Handle error -> task.getException();
            }
        }
    });

Unity

Firebase.Auth.FirebaseUser user = auth.CurrentUser;
user.TokenAsync(true).ContinueWith(task => {
  if (task.IsCanceled) {
    Debug.LogError("TokenAsync was canceled.");
   return;
  }

  if (task.IsFaulted) {
    Debug.LogError("TokenAsync encountered an error: " + task.Exception);
    return;
  }

  string idToken = task.Result;

  // Send token to your backend via HTTPS
  // ...
});

C++

firebase::auth::User user = auth->current_user();
if (user.is_valid()) {
  firebase::Future<std::string> idToken = user.GetToken(true);

  // Send token to your backend via HTTPS
  // ...
}

Sieć

firebase.auth().currentUser.getIdToken(/* forceRefresh */ true).then(function(idToken) {
  // Send token to your backend via HTTPS
  // ...
}).catch(function(error) {
  // Handle error
});

Po uzyskaniu tokena identyfikatora możesz wysłać go do backendu i zweryfikować za pomocą pakietu SDK Firebase Admin lub zewnętrznego tokena JWT jeśli serwer jest napisany w języku, którego Firebase nie używa natywną obsługę.

Weryfikowanie tokenów tożsamości za pomocą pakietu Firebase Admin SDK

Pakiet SDK Firebase Admin ma wbudowaną metodę weryfikacji i dekodowania identyfikatora tokeny. Jeśli podany token identyfikatora ma prawidłowy format, nie stracił ważności i jest prawidłowo podpisane, metoda zwraca zdekodowany token identyfikatora. Możesz pobrać uid użytkownika lub urządzenia ze zdekodowanego tokena.

Aby zainicjować pakiet Admin SDK, postępuj zgodnie z instrukcjami konfiguracji pakietu Admin SDK. pakietu Admin SDK z kontem usługi. Następnie użyj metody verifyIdToken() aby zweryfikować token identyfikatora:

Node.js

// idToken comes from the client app
getAuth()
  .verifyIdToken(idToken)
  .then((decodedToken) => {
    const uid = decodedToken.uid;
    // ...
  })
  .catch((error) => {
    // Handle error
  });

Java

// idToken comes from the client app (shown above)
FirebaseToken decodedToken = FirebaseAuth.getInstance().verifyIdToken(idToken);
String uid = decodedToken.getUid();

Python

# id_token comes from the client app (shown above)

decoded_token = auth.verify_id_token(id_token)
uid = decoded_token['uid']

Go

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}

token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
	log.Fatalf("error verifying ID token: %v\n", err)
}

log.Printf("Verified ID token: %v\n", token)auth.go

C#

FirebaseToken decodedToken = await FirebaseAuth.DefaultInstance
    .VerifyIdTokenAsync(idToken);
string uid = decodedToken.Uid;

Weryfikacja tokena tożsamości wymaga identyfikatora projektu. Próby użycia pakietu Firebase Admin SDK by uzyskać identyfikator projektu, korzystając z jednej z tych metod:

Jeśli pakiet SDK został zainicjowany za pomocą jawnej opcji aplikacji projectId, komponent Pakiet SDK używa wartości tej opcji.
Jeśli pakiet SDK został zainicjowany przy użyciu danych logowania konta usługi, pakiet używa w polu project_id obiektu JSON konta usługi.
Jeśli ustawiona jest zmienna środowiskowa GOOGLE_CLOUD_PROJECT, pakiet SDK używa jego wartość jako identyfikator projektu. Ta zmienna środowiskowa jest dostępna dla kodu działającego w infrastrukturze Google, takiej jak App Engine czy Compute Engine

Weryfikowanie tokenów tożsamości za pomocą biblioteki JWT innej firmy

Jeśli backend jest w języku, który nie jest obsługiwany przez administratora Firebase SDK, nadal możesz weryfikować tokeny tożsamości. Po pierwsze, znaleźć bibliotekę JWT innej firmy dla swojego języka. Następnie: zweryfikować nagłówek, ładunek i podpis tokena tożsamości.

Sprawdź, czy nagłówek tokena identyfikatora jest zgodny z tymi ograniczeniami:

Żądania nagłówka tokena identyfikatora
`alg`	Algorytm	`"RS256"`
`kid`	Identyfikator klucza	Musi odpowiadać jednemu z kluczy publicznych wymienionych na stronie `https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com`

Sprawdź, czy ładunek tokena identyfikatora jest zgodny z tymi ograniczeniami:

Żądania ładunku tokena identyfikatora
`exp`	Okres ważności	Musi być w przyszłości. Czas jest mierzony w sekundach od momentu uruchomienia systemu UNIX epoki.
`iat`	Wystawiony w momencie	Musi przypadać w przeszłości. Czas jest mierzony w sekundach od momentu uruchomienia systemu UNIX epoki.
`aud`	Odbiorcy	Musi to być identyfikator Twojego projektu Firebase, unikalny identyfikator Firebase projekt, który można znaleźć w adresie URL jego konsoli.
`iss`	Wystawca	Musi to być `"https://securetoken.google.com/<projectId>"`, gdzie `<projectId>` to ten sam identyfikator projektu, który został użyty do `aud` powyżej.
`sub`	Temat	Pole nie może być puste i musi zawierać wartość `uid` użytkownika lub urządzenia.
`auth_time`	Czas uwierzytelniania	Musi przypadać w przeszłości. Czas uwierzytelnienia użytkownika.

Sprawdź też, czy token identyfikatora został podpisany przez klucz prywatny odpowiadający do żądania kid tokena. Pobierz klucz publiczny z https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com i użyj biblioteki JWT do weryfikacji podpisu. Użyj wartości max-age w nagłówek Cache-Control odpowiedzi z tego punktu końcowego, aby wiedzieć, kiedy należy odśwież klucze publiczne.

Jeśli wszystkie powyższe weryfikacje się zakończą, możesz użyć tematu (sub) tokena identyfikatora jako uid odpowiedniego użytkownika lub urządzenia.