Управление сеансами с работниками службы

Firebase Auth предоставляет возможность использовать сервис-воркеров для обнаружения и передачи токенов Firebase ID для управления сеансами. Это обеспечивает следующие преимущества:

  • Возможность передавать идентификационный токен при каждом HTTP-запросе от сервера без каких-либо дополнительных действий.
  • Возможность обновления токена идентификатора без каких-либо дополнительных обходов или задержек.
  • Синхронизированные сеансы серверной и внешней части. Приложения, которым необходим доступ к сервисам Firebase, таким как база данных реального времени, Firestore и т. д., а также к некоторым внешним ресурсам на стороне сервера (база данных SQL и т. д.), могут использовать это решение. Кроме того, к тому же сеансу можно получить доступ из сервис-воркера, веб-воркера или общего работника.
  • Устраняет необходимость включать исходный код Firebase Auth на каждую страницу (уменьшает задержку). Сервис-воркер, загруженный и инициализированный один раз, будет обрабатывать управление сеансами для всех клиентов в фоновом режиме.

Обзор

Firebase Auth оптимизирован для работы на стороне клиента. Токены сохраняются в веб-хранилище. Это упрощает интеграцию с другими сервисами Firebase, такими как база данных реального времени, Cloud Firestore, облачное хранилище и т. д. Для управления сеансами с точки зрения сервера необходимо получать и передавать на сервер идентификаторы-токены.

Web modular API

import { getAuth, getIdToken } from "firebase/auth";

const auth = getAuth();
getIdToken(auth.currentUser)
  .then((idToken) => {
    // idToken can be passed back to server.
  })
  .catch((error) => {
    // Error occurred.
  });

Web namespaced API

firebase.auth().currentUser.getIdToken()
  .then((idToken) => {
    // idToken can be passed back to server.
  })
  .catch((error) => {
    // Error occurred.
  });

Однако это означает, что некоторый скрипт должен запуститься на клиенте, чтобы получить последний токен идентификатора, а затем передать его на сервер через заголовок запроса, тело POST и т. д.

Это может не масштабироваться, и вместо этого могут потребоваться файлы cookie сеанса на стороне сервера. Токены идентификатора могут быть установлены как файлы cookie сеанса, но они недолговечны, и их необходимо будет обновить на клиенте, а затем установить как новые файлы cookie по истечении срока действия, что может потребовать дополнительного обхода, если пользователь не посещал сайт какое-то время.

Хотя Firebase Auth предоставляет более традиционное решение для управления сеансами на основе файлов cookie , это решение лучше всего работает для приложений на основе файлов cookie на стороне сервера httpOnly , и им труднее управлять, поскольку токены клиента и токены на стороне сервера могут не синхронизироваться, особенно если вам также необходимо использовать другие клиентские службы Firebase.

Вместо этого сервис-воркеры могут использоваться для управления пользовательскими сеансами на стороне сервера. Это работает благодаря следующему:

  • Сервисные работники имеют доступ к текущему состоянию аутентификации Firebase. Текущий токен идентификатора пользователя можно получить у работника службы. Если срок действия токена истек, клиентский SDK обновит его и вернет новый.
  • Работники службы могут перехватывать запросы на выборку и изменять их.

Изменения в сервисном работнике

Сервисному работнику потребуется включить библиотеку аутентификации и возможность получать текущий токен идентификатора, если пользователь вошел в систему.

Web modular API

import { initializeApp } from "firebase/app";
import { getAuth, onAuthStateChanged, getIdToken } from "firebase/auth";

// Initialize the Firebase app in the service worker script.
initializeApp(config);

/**
 * Returns a promise that resolves with an ID token if available.
 * @return {!Promise<?string>} The promise that resolves with an ID token if
 *     available. Otherwise, the promise resolves with null.
 */
const auth = getAuth();
const getIdTokenPromise = () => {
  return new Promise((resolve, reject) => {
    const unsubscribe = onAuthStateChanged(auth, (user) => {
      unsubscribe();
      if (user) {
        getIdToken(user).then((idToken) => {
          resolve(idToken);
        }, (error) => {
          resolve(null);
        });
      } else {
        resolve(null);
      }
    });
  });
};

Web namespaced API

// Initialize the Firebase app in the service worker script.
firebase.initializeApp(config);

/**
 * Returns a promise that resolves with an ID token if available.
 * @return {!Promise<?string>} The promise that resolves with an ID token if
 *     available. Otherwise, the promise resolves with null.
 */
const getIdToken = () => {
  return new Promise((resolve, reject) => {
    const unsubscribe = firebase.auth().onAuthStateChanged((user) => {
      unsubscribe();
      if (user) {
        user.getIdToken().then((idToken) => {
          resolve(idToken);
        }, (error) => {
          resolve(null);
        });
      } else {
        resolve(null);
      }
    });
  });
};

Все запросы на выборку к источнику приложения будут перехвачены и, если токен идентификатора доступен, добавлен к запросу через заголовок. На стороне сервера заголовки запросов будут проверены на наличие идентификатора токена, проверены и обработаны. В сценарии сервисного работника запрос на выборку будет перехвачен и изменен.

Web modular API

const getOriginFromUrl = (url) => {
  // https://stackoverflow.com/questions/1420881/how-to-extract-base-url-from-a-string-in-javascript
  const pathArray = url.split('/');
  const protocol = pathArray[0];
  const host = pathArray[2];
  return protocol + '//' + host;
};

// Get underlying body if available. Works for text and json bodies.
const getBodyContent = (req) => {
  return Promise.resolve().then(() => {
    if (req.method !== 'GET') {
      if (req.headers.get('Content-Type').indexOf('json') !== -1) {
        return req.json()
          .then((json) => {
            return JSON.stringify(json);
          });
      } else {
        return req.text();
      }
    }
  }).catch((error) => {
    // Ignore error.
  });
};

self.addEventListener('fetch', (event) => {
  /** @type {FetchEvent} */
  const evt = event;

  const requestProcessor = (idToken) => {
    let req = evt.request;
    let processRequestPromise = Promise.resolve();
    // For same origin https requests, append idToken to header.
    if (self.location.origin == getOriginFromUrl(evt.request.url) &&
        (self.location.protocol == 'https:' ||
         self.location.hostname == 'localhost') &&
        idToken) {
      // Clone headers as request headers are immutable.
      const headers = new Headers();
      req.headers.forEach((val, key) => {
        headers.append(key, val);
      });
      // Add ID token to header.
      headers.append('Authorization', 'Bearer ' + idToken);
      processRequestPromise = getBodyContent(req).then((body) => {
        try {
          req = new Request(req.url, {
            method: req.method,
            headers: headers,
            mode: 'same-origin',
            credentials: req.credentials,
            cache: req.cache,
            redirect: req.redirect,
            referrer: req.referrer,
            body,
            // bodyUsed: req.bodyUsed,
            // context: req.context
          });
        } catch (e) {
          // This will fail for CORS requests. We just continue with the
          // fetch caching logic below and do not pass the ID token.
        }
      });
    }
    return processRequestPromise.then(() => {
      return fetch(req);
    });
  };
  // Fetch the resource after checking for the ID token.
  // This can also be integrated with existing logic to serve cached files
  // in offline mode.
  evt.respondWith(getIdTokenPromise().then(requestProcessor, requestProcessor));
});

Web namespaced API

const getOriginFromUrl = (url) => {
  // https://stackoverflow.com/questions/1420881/how-to-extract-base-url-from-a-string-in-javascript
  const pathArray = url.split('/');
  const protocol = pathArray[0];
  const host = pathArray[2];
  return protocol + '//' + host;
};

// Get underlying body if available. Works for text and json bodies.
const getBodyContent = (req) => {
  return Promise.resolve().then(() => {
    if (req.method !== 'GET') {
      if (req.headers.get('Content-Type').indexOf('json') !== -1) {
        return req.json()
          .then((json) => {
            return JSON.stringify(json);
          });
      } else {
        return req.text();
      }
    }
  }).catch((error) => {
    // Ignore error.
  });
};

self.addEventListener('fetch', (event) => {
  /** @type {FetchEvent} */
  const evt = event;

  const requestProcessor = (idToken) => {
    let req = evt.request;
    let processRequestPromise = Promise.resolve();
    // For same origin https requests, append idToken to header.
    if (self.location.origin == getOriginFromUrl(evt.request.url) &&
        (self.location.protocol == 'https:' ||
         self.location.hostname == 'localhost') &&
        idToken) {
      // Clone headers as request headers are immutable.
      const headers = new Headers();
      req.headers.forEach((val, key) => {
        headers.append(key, val);
      });
      // Add ID token to header.
      headers.append('Authorization', 'Bearer ' + idToken);
      processRequestPromise = getBodyContent(req).then((body) => {
        try {
          req = new Request(req.url, {
            method: req.method,
            headers: headers,
            mode: 'same-origin',
            credentials: req.credentials,
            cache: req.cache,
            redirect: req.redirect,
            referrer: req.referrer,
            body,
            // bodyUsed: req.bodyUsed,
            // context: req.context
          });
        } catch (e) {
          // This will fail for CORS requests. We just continue with the
          // fetch caching logic below and do not pass the ID token.
        }
      });
    }
    return processRequestPromise.then(() => {
      return fetch(req);
    });
  };
  // Fetch the resource after checking for the ID token.
  // This can also be integrated with existing logic to serve cached files
  // in offline mode.
  evt.respondWith(getIdToken().then(requestProcessor, requestProcessor));
});

В результате все аутентифицированные запросы всегда будут иметь токен идентификатора, передаваемый в заголовке, без дополнительной обработки.

Чтобы сервис-воркер мог обнаружить изменения состояния аутентификации, его обычно необходимо установить на странице входа/регистрации. После установки работник службы должен вызвать clients.claim() при активации, чтобы его можно было настроить в качестве контроллера для текущей страницы.

Web modular API

self.addEventListener('activate', (event) => {
  event.waitUntil(clients.claim());
});

Web namespaced API

self.addEventListener('activate', (event) => {
  event.waitUntil(clients.claim());
});

Изменения на стороне клиента

Service Worker, если он поддерживается, необходимо установить на странице входа/регистрации на стороне клиента.

Web modular API

// Install servicerWorker if supported on sign-in/sign-up page.
if ('serviceWorker' in navigator) {
  navigator.serviceWorker.register('/service-worker.js', {scope: '/'});
}

Web namespaced API

// Install servicerWorker if supported on sign-in/sign-up page.
if ('serviceWorker' in navigator) {
  navigator.serviceWorker.register('/service-worker.js', {scope: '/'});
}

Когда пользователь войдет в систему и будет перенаправлен на другую страницу, работник службы сможет внедрить токен идентификатора в заголовок до завершения перенаправления.

Web modular API

import { getAuth, signInWithEmailAndPassword } from "firebase/auth";

// Sign in screen.
const auth = getAuth();
signInWithEmailAndPassword(auth, email, password)
  .then((result) => {
    // Redirect to profile page after sign-in. The service worker will detect
    // this and append the ID token to the header.
    window.location.assign('/profile');
  })
  .catch((error) => {
    // Error occurred.
  });

Web namespaced API

// Sign in screen.
firebase.auth().signInWithEmailAndPassword(email, password)
  .then((result) => {
    // Redirect to profile page after sign-in. The service worker will detect
    // this and append the ID token to the header.
    window.location.assign('/profile');
  })
  .catch((error) => {
    // Error occurred.
  });

Изменения на стороне сервера

Код на стороне сервера сможет обнаруживать токен идентификатора при каждом запросе. Это показано в следующем примере кода Node.js Express.

// Server side code.
const admin = require('firebase-admin');
const serviceAccount = require('path/to/serviceAccountKey.json');

// The Firebase Admin SDK is used here to verify the ID token.
admin.initializeApp({
  credential: admin.credential.cert(serviceAccount)
});

function getIdToken(req) {
  // Parse the injected ID token from the request header.
  const authorizationHeader = req.headers.authorization || '';
  const components = authorizationHeader.split(' ');
  return components.length > 1 ? components[1] : '';
}

function checkIfSignedIn(url) {
  return (req, res, next) => {
    if (req.url == url) {
      const idToken = getIdToken(req);
      // Verify the ID token using the Firebase Admin SDK.
      // User already logged in. Redirect to profile page.
      admin.auth().verifyIdToken(idToken).then((decodedClaims) => {
        // User is authenticated, user claims can be retrieved from
        // decodedClaims.
        // In this sample code, authenticated users are always redirected to
        // the profile page.
        res.redirect('/profile');
      }).catch((error) => {
        next();
      });
    } else {
      next();
    }
  };
}

// If a user is signed in, redirect to profile page.
app.use(checkIfSignedIn('/'));

Заключение

Кроме того, поскольку токены идентификатора будут установлены через сервис-воркеров, а сервис-воркеры могут запускаться из одного и того же источника, риск CSRF отсутствует, поскольку веб-сайт другого происхождения, пытающийся вызвать ваши конечные точки, не сможет вызвать сервис-воркера. , в результате чего запрос выглядит неаутентифицированным с точки зрения сервера.

Хотя сервис-воркеры теперь поддерживаются во всех современных основных браузерах, некоторые старые браузеры их не поддерживают. В результате может потребоваться некоторый резервный вариант для передачи токена идентификатора на ваш сервер, когда сервис-воркеры недоступны или запуск приложения может быть ограничен только в браузерах, поддерживающих сервис-воркеров.

Обратите внимание, что работники служб имеют только один источник и будут установлены только на веб-сайты, обслуживаемые через соединение https или localhost.

Узнайте больше о поддержке браузера для Service Worker на сайте caniuse.com .