אימות אסימונים מזהים

אם אפליקציית הלקוח שלכם ב-Firebase מתקשרת עם שרת בק-אנד בהתאמה אישית, יכול להיות שתצטרכו לזהות את המשתמש שמחובר כרגע בשרת הזה. כדי לעשות זאת בצורה מאובטחת, אחרי כניסה מוצלחת, שולחים את אסימון הזהות של המשתמש לשרת באמצעות HTTPS. לאחר מכן, בשרת, מאמתים את השלמות והמקוריות של אסימון המזהה ומאחזרים ממנו את uid. אפשר להשתמש ב-uid שמועבר בדרך הזו כדי לזהות בצורה מאובטחת את המשתמש שמחובר כרגע לשרת שלכם.

לפני שמתחילים

כדי לאמת אסימוני מזהה באמצעות SDK של Firebase לאדמינים, צריך חשבון שירות. בהוראות להגדרת SDK לאדמינים מוסבר איך להפעיל את SDK לאדמינים באמצעות חשבון שירות.

אחזור של אסימוני מזהה בלקוחות

כשמשתמש או מכשיר נכנסים לחשבון, Firebase יוצר אסימון מזהה תואם שמזהה אותם באופן ייחודי ומעניק להם גישה למספר מקורות מידע, כמו Firebase Realtime Database ו-Cloud Storage. אפשר להשתמש מחדש באסימון המזהה הזה כדי לזהות את המשתמש או המכשיר בשרת הקצה העורפי המותאם אישית. כדי לאחזר את טוקן ה-ID מהלקוח, מוודאים שהמשתמש מחובר לחשבון ואז מאחזרים את טוקן ה-ID מהמשתמש המחובר:

FIRUser *currentUser = [FIRAuth auth].currentUser;
[currentUser getIDTokenForcingRefresh:YES
                           completion:^(NSString *_Nullable idToken,
                                        NSError *_Nullable error) {
          if (error) {
            // Handle error
            return;
          }

          // Send token to your backend via HTTPS
          // ...
}];

let currentUser = FIRAuth.auth()?.currentUser
currentUser?.getIDTokenForcingRefresh(true) { idToken, error in
  if let error = error {
    // Handle error
    return;
  }

  // Send token to your backend via HTTPS
  // ...
}

FirebaseUser mUser = FirebaseAuth.getInstance().getCurrentUser();
mUser.getIdToken(true)
    .addOnCompleteListener(new OnCompleteListener<GetTokenResult>() {
        public void onComplete(@NonNull Task<GetTokenResult> task) {
            if (task.isSuccessful()) {
                String idToken = task.getResult().getToken();
                // Send token to your backend via HTTPS
                // ...
            } else {
                // Handle error -> task.getException();
            }
        }
    });

Firebase.Auth.FirebaseUser user = auth.CurrentUser;
user.TokenAsync(true).ContinueWith(task => {
  if (task.IsCanceled) {
    Debug.LogError("TokenAsync was canceled.");
   return;
  }

  if (task.IsFaulted) {
    Debug.LogError("TokenAsync encountered an error: " + task.Exception);
    return;
  }

  string idToken = task.Result;

  // Send token to your backend via HTTPS
  // ...
});

firebase::auth::User user = auth->current_user();
if (user.is_valid()) {
  firebase::Future<std::string> idToken = user.GetToken(true);

  // Send token to your backend via HTTPS
  // ...
}

firebase.auth().currentUser.getIdToken(/* forceRefresh */ true).then(function(idToken) {
  // Send token to your backend via HTTPS
  // ...
}).catch(function(error) {
  // Handle error
});

אחרי שיש לכם אסימון מזהה, אתם יכולים לשלוח את אסימון האינטרנט מסוג JSON‏ (JWT) אל ה-בק-אנד ולאמת אותו באמצעות SDK של Firebase לאדמינים, או באמצעות ספריית JWT של צד שלישי אם השרת שלכם כתוב בשפה ש-Firebase לא תומכת בה באופן מקורי.

אימות של טוקנים של מזהים באמצעות SDK של Firebase לאדמינים

ל-SDK של Firebase לאדמינים יש שיטה מובנית לאימות ולפענוח של טוקנים של מזהים. אם אסימון המזהה שסופק הוא בפורמט הנכון, לא פג תוקפו והוא חתום בצורה תקינה, השיטה מחזירה את אסימון המזהה המפוענח. אפשר לאחזר את uid של המשתמש או המכשיר מהאסימון המפוענח.

פועלים לפי ההוראות להגדרת SDK לאדמינים כדי לאתחל את SDK לאדמינים באמצעות חשבון שירות. לאחר מכן, משתמשים בשיטה verifyIdToken() כדי לאמת אסימון מזהה:

// idToken comes from the client app
getAuth()
  .verifyIdToken(idToken)
  .then((decodedToken) => {
    const uid = decodedToken.uid;
    // ...
  })
  .catch((error) => {
    // Handle error
  });

// idToken comes from the client app (shown above)
FirebaseToken decodedToken = FirebaseAuth.getInstance().verifyIdToken(idToken);
String uid = decodedToken.getUid();

# id_token comes from the client app (shown above)

decoded_token = auth.verify_id_token(id_token)
uid = decoded_token['uid']

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}

token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
	log.Fatalf("error verifying ID token: %v\n", err)
}

log.Printf("Verified ID token: %v\n", token)
auth.go

FirebaseToken decodedToken = await FirebaseAuth.DefaultInstance
    .VerifyIdTokenAsync(idToken);
string uid = decodedToken.Uid;

כדי לאמת אסימון מזהה, צריך מזהה פרויקט. ה-SDK של Firebase לאדמינים מנסה לקבל מזהה פרויקט באחת מהשיטות הבאות:

• אם ה-SDK אותחל עם אפשרות projectId app מפורשת, ה-SDK משתמש בערך של האפשרות הזו.
• אם ה-SDK אותחל באמצעות פרטי כניסה של חשבון שירות, ה-SDK משתמש בשדה project_id של אובייקט ה-JSON של חשבון השירות.
• אם משתנה הסביבה GOOGLE_CLOUD_PROJECT מוגדר, ה-SDK משתמש בערך שלו כמזהה הפרויקט. משתנה הסביבה הזה זמין לקוד שפועל בתשתית של Google, כמו App Engine ו-Compute Engine.

אימות אסימוני מזהה באמצעות ספריית JWT של צד שלישי

אם ה-backend שלכם הוא בשפה שלא נתמכת על ידי Firebase Admin SDK, עדיין תוכלו לאמת את טוקני מזהה. קודם כל, מחפשים ספריית JWT של צד שלישי בשפה שלכם. לאחר מכן, מאמתים את הכותרת, ה-payload והחתימה של טוקן ה-ID.

מוודאים שהכותרת של אסימון המזהה עומדת במגבלות הבאות:

צריך לוודא שהמטען הייעודי (payload) של טוקן ה-ID עומד במגבלות הבאות:

לבסוף, מוודאים שהמפתח הפרטי שחתם על האסימון המזהה תואם לטענת kid של האסימון. מאחזרים את המפתח הציבורי מ-https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com ומשתמשים בספריית JWT כדי לאמת את החתימה. כדי לדעת מתי לרענן את המפתחות הציבוריים, צריך להשתמש בערך של max-age בכותרת Cache-Control של התשובה מנקודת הקצה הזו.

אם כל האימותים שלמעלה יתבצעו בהצלחה, תוכלו להשתמש בנושא (sub) של אסימון המזהה כ-uid של המשתמש או המכשיר המתאימים.