Firebase Admin SDK คือชุดไลบรารีของเซิร์ฟเวอร์ที่ช่วยให้คุณโต้ตอบกับ Firebase จากสภาพแวดล้อมที่มีสิทธิ์เพื่อดำเนินการต่างๆ เช่น การค้นหาและการเปลี่ยนแปลงในบริการ Firebase Data Connect สำหรับการจัดการข้อมูลแบบเป็นกลุ่ม และการดำเนินการอื่นๆ ที่มีสิทธิ์ระดับสูงและข้อมูลเข้าสู่ระบบที่จำลอง
Admin SDK มี API ให้คุณเรียกใช้การดำเนินการในโหมดอ่าน/เขียนและโหมดอ่านอย่างเดียว การดำเนินการแบบอ่านอย่างเดียวช่วยให้คุณมั่นใจได้ว่าจะสามารถใช้ฟังก์ชันการดูแลระบบที่ไม่สามารถแก้ไขข้อมูลในฐานข้อมูลได้
การตั้งค่า Admin SDK
หากต้องการเริ่มใช้ Firebase Data Connect ในเซิร์ฟเวอร์ คุณจะต้องติดตั้งและตั้งค่า Admin SDK สำหรับ Node.js ก่อน
เริ่มต้น Admin SDK ในสคริปต์
หากต้องการเริ่มต้น SDK ให้นำเข้าData Connectส่วนขยายและประกาศรหัสบริการและสถานที่ตั้งของโปรเจ็กต์
import { initializeApp } from 'firebase-admin/app';
import { getDataConnect } from 'firebase-admin/data-connect';
// If you'd like to use OAuth2 flows and other credentials to log in,
// visit https://firebase.google.com/docs/admin/setup#initialize-sdk
// for alternative ways to initialize the SDK.
const app = initializeApp();
const dataConnect = getDataConnect({
serviceId: 'serviceId',
location: 'us-west2'
});
ออกแบบการค้นหาและการเปลี่ยนแปลงเพื่อใช้กับ Admin SDK
Admin SDK มีประโยชน์สำหรับการเรียกใช้การดำเนินการ Data Connect โดยพิจารณาจากข้อควรพิจารณาต่อไปนี้
ทําความเข้าใจ SDK และ@auth(level: NO_ACCESS)คําสั่งการปฏิบัติงาน
เนื่องจาก Admin SDK ทำงานโดยใช้สิทธิ์ จึงสามารถเรียกใช้การค้นหาและการเปลี่ยนแปลงใดๆ ของคุณได้ ไม่ว่าระดับการเข้าถึงที่ตั้งค่าโดยใช้@auth Directive จะเป็นอย่างไร รวมถึงระดับ NO_ACCESS
หากคุณจัดระเบียบการค้นหาและการเปลี่ยนแปลงการดูแลระบบควบคู่ไปกับการดำเนินการของไคลเอ็นต์ใน.gqlไฟล์ต้นฉบับเพื่อนำเข้าไปยังสคริปต์การดูแลระบบ
Firebase ขอแนะนำให้คุณทำเครื่องหมายการดำเนินการดูแลระบบโดยไม่มี
ระดับการเข้าถึงการให้สิทธิ์ หรืออาจระบุให้ชัดเจนยิ่งขึ้นและตั้งค่าเป็น
NO_ACCESS ไม่ว่าจะด้วยวิธีใดก็ตาม วิธีนี้จะป้องกันไม่ให้มีการดำเนินการดังกล่าวจากไคลเอ็นต์หรือในบริบทอื่นๆ ที่ไม่มีสิทธิ์
ใช้ SDK กับโปรแกรมจำลอง Data Connect
ในสภาพแวดล้อมต้นแบบและสภาพแวดล้อมการทดสอบ การดำเนินการเริ่มต้นข้อมูลและ การดำเนินการอื่นๆ กับข้อมูลในเครื่องอาจมีประโยชน์ Admin SDK ช่วยให้คุณลดความซับซ้อนของเวิร์กโฟลว์ได้ เนื่องจากสามารถข้ามการตรวจสอบสิทธิ์และการให้สิทธิ์สำหรับโฟลว์ในเครื่องได้ (คุณยังเลือกใช้การกำหนดค่าการตรวจสอบสิทธิ์และการให้สิทธิ์ของการดำเนินการของคุณอย่างชัดเจนได้ด้วย การแอบอ้างเป็นผู้ใช้)
Firebase Admin SDK จะเชื่อมต่อกับData Connect
โปรแกรมจำลองโดยอัตโนมัติเมื่อตั้งค่าตัวแปรสภาพแวดล้อม DATA_CONNECT_EMULATOR_HOST
export DATA_CONNECT_EMULATOR_HOST="127.0.0.1:9399"
ดูข้อมูลเพิ่มเติมได้ที่
เรียกใช้การดำเนินการของผู้ดูแลระบบ
Admin SDK มีไว้สำหรับการดำเนินการที่มีสิทธิ์ในข้อมูลสำคัญ
Admin SDK มี API 3 ชุด ได้แก่
- Admin SDK ที่สร้างขึ้น ซึ่งเป็น SDK ที่ปลอดภัยต่อประเภทที่สร้างขึ้นจาก
gqlคำจำกัดความในลักษณะเดียวกับการสร้าง SDK ของไคลเอ็นต์ - อินเทอร์เฟซทั่วไปสําหรับการเรียกใช้การดำเนินการ GraphQL ที่กำหนดเอง ซึ่งโค้ดของคุณจะใช้การค้นหาและการเปลี่ยนแปลง และส่งไปยังเมธอด
executeGraphqlread-write หรือเมธอดexecuteGraphqlReadread-only - อินเทอร์เฟซเฉพาะสำหรับการดำเนินการข้อมูลแบบเป็นกลุ่ม ซึ่งแทนที่จะใช้เมธอด
executeGraphqlทั่วไป แต่จะแสดงเมธอดเฉพาะสำหรับการดำเนินการเปลี่ยนแปลง:insert,insertMany,upsertและupsertMany
จัดการข้อมูลด้วย SDK ที่สร้างขึ้น
คุณสร้าง SDK ของผู้ดูแลระบบ
จากคำจำกัดความของgqlในลักษณะเดียวกับการสร้าง SDK ของไคลเอ็นต์
Admin SDK ที่สร้างขึ้นจะมีอินเทอร์เฟซและฟังก์ชันที่สอดคล้องกับ
คำจำกัดความของgql ซึ่งคุณสามารถใช้เพื่อดำเนินการกับ
ฐานข้อมูลได้ เช่น สมมติว่าคุณสร้าง SDK สำหรับฐานข้อมูลเพลง
พร้อมกับคำค้นหา getSongs
import { initializeApp } from "firebase-admin/app";
import { getSongs } from "@dataconnect/admin-generated";
const adminApp = initializeApp();
const songs = await getSongs(
{ limit: 4 },
{ impersonate: { unauthenticated: true } }
);
หรือหากต้องการระบุการกำหนดค่าตัวเชื่อมต่อ ให้ทำดังนี้
import { initializeApp } from "firebase-admin/app";
import { getDataConnect } from "firebase-admin/data-connect";
import {
connectorConfig,
getSongs,
} from "@dataconnect/admin-generated";
const adminApp = initializeApp();
const adminDc = getDataConnect(connectorConfig);
const songs = await getSongs(
adminDc,
{ limit: 4 },
{ impersonate: { unauthenticated: true } }
);
การสวมบทบาทเป็นผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์
Admin SDK ออกแบบมาเพื่อเรียกใช้จากสภาพแวดล้อมที่เชื่อถือได้ จึงมี สิทธิ์เข้าถึงฐานข้อมูลของคุณได้โดยไม่มีข้อจำกัด
เมื่อเรียกใช้การดำเนินการสาธารณะด้วย Admin SDK คุณควรหลีกเลี่ยงการเรียกใช้
การดำเนินการที่มีสิทธิ์ของผู้ดูแลระบบแบบเต็ม (ตามหลักการของสิทธิ์ขั้นต่ำที่สุด) แต่คุณควรเรียกใช้การดำเนินการในฐานะผู้ใช้ที่เลียนแบบ
(ดูส่วนถัดไป) หรือในฐานะผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์ที่เลียนแบบ
ผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์จะเรียกใช้ได้เฉพาะการดำเนินการที่ทำเครื่องหมายเป็น PUBLIC เท่านั้น
ในตัวอย่างด้านบน ระบบจะเรียกใช้คำค้นหา getSongs ในฐานะผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์
การแอบอ้างเป็นผู้ใช้
นอกจากนี้ คุณยังดำเนินการในนามของผู้ใช้ที่เฉพาะเจาะจงได้โดยส่งโทเค็น Firebase Authentication บางส่วนหรือทั้งหมดในตัวเลือก impersonate โดยคุณต้องระบุรหัสผู้ใช้ของผู้ใช้ในอ้างอิงย่อยเป็นอย่างน้อย (ค่านี้เหมือนกับauth.uidค่าเซิร์ฟเวอร์
ที่คุณอ้างอิงได้ในการดำเนินการ GraphQL ของ Data Connect)
เมื่อคุณแอบอ้างเป็นผู้ใช้ การดำเนินการจะสำเร็จก็ต่อเมื่อข้อมูลผู้ใช้ ที่คุณระบุผ่านการตรวจสอบสิทธิ์ที่ระบุไว้ในคำจำกัดความ GraphQL
หากคุณเรียกใช้ SDK ที่สร้างขึ้นจากปลายทางที่เข้าถึงได้แบบสาธารณะ สิ่งสำคัญคือ ปลายทางต้องมีการตรวจสอบสิทธิ์ และคุณต้องตรวจสอบ ความสมบูรณ์ของโทเค็นการตรวจสอบสิทธิ์ก่อนที่จะใช้เพื่อแอบอ้างเป็นผู้ใช้
เมื่อใช้ Cloud Functions ที่เรียกใช้ได้ ระบบจะ ยืนยันโทเค็นการตรวจสอบสิทธิ์โดยอัตโนมัติ และคุณจะใช้โทเค็นได้ดังตัวอย่างต่อไปนี้
import { HttpsError, onCall } from "firebase-functions/https";
export const callableExample = onCall(async (req) => {
const authClaims = req.auth?.token;
if (!authClaims) {
throw new HttpsError("unauthenticated", "Unauthorized");
}
const favoriteSongs = await getMyFavoriteSongs(
undefined,
{ impersonate: { authClaims } }
);
// ...
});
หรือใช้เมธอด Admin SDKverifyIdToken เพื่อตรวจสอบและถอดรหัส
โทเค็นการตรวจสอบสิทธิ์ ตัวอย่างเช่น สมมติว่าคุณได้ติดตั้งใช้งานปลายทางเป็นฟังก์ชัน HTTP ธรรมดา และส่งโทเค็น Firebase Authentication ไปยังปลายทางโดยใช้ส่วนหัว authorization ตามมาตรฐาน
import { getAuth } from "firebase-admin/auth";
import { onRequest } from "firebase-functions/https";
const auth = getAuth();
export const httpExample = onRequest(async (req, res) => {
const token = req.header("authorization")?.replace(/^bearer\s+/i, "");
if (!token) {
res.sendStatus(401);
return;
}
let authClaims;
try {
authClaims = await auth.verifyIdToken(token);
} catch {
res.sendStatus(401);
return;
}
const favoriteSongs = await getMyFavoriteSongs(
undefined,
{ impersonate: { authClaims } }
);
// ...
});
คุณควรระบุ User ID ที่ไม่ได้มาจากแหล่งที่มาที่ตรวจสอบได้เฉพาะเมื่อทำภารกิจการดูแลระบบจริง เช่น การย้ายข้อมูล จากสภาพแวดล้อมที่ปลอดภัยและเข้าถึงแบบสาธารณะไม่ได้
// Never do this if end users can initiate execution of the code!
const favoriteSongs = await getMyFavoriteSongs(
undefined,
{ impersonate: { authClaims } }
);
การเรียกใช้ด้วยสิทธิ์เข้าถึงแบบไม่จำกัด
หากคุณดำเนินการที่ต้องใช้สิทธิ์ระดับผู้ดูแลระบบ ให้นำพารามิเตอร์ การแอบอ้างออกจากคำสั่งเรียก
await upsertSong(adminDc, {
title: songTitle_one,
instrumentsUsed: [Instrument.VOCAL],
});
การดำเนินการที่เรียกในลักษณะนี้จะมีสิทธิ์เข้าถึงฐานข้อมูลโดยสมบูรณ์ หากคุณมีคำค้นหาหรือการเปลี่ยนแปลงที่มีไว้เพื่อใช้เพื่อวัตถุประสงค์ในการดูแลระบบเท่านั้น คุณควรระบุคำค้นหาหรือการเปลี่ยนแปลงเหล่านั้นด้วยคำสั่ง @auth(level: NO_ACCESS) การดำเนินการนี้จะช่วยให้มั่นใจได้ว่าเฉพาะผู้ที่โทรในระดับผู้ดูแลระบบเท่านั้นที่จะดำเนินการเหล่านี้ได้
จัดการข้อมูลด้วยexecuteGraphql
หากต้องการดำเนินการแบบครั้งเดียวซึ่งคุณไม่ได้กำหนด gql
การเปลี่ยนแปลงหรือการค้นหา คุณสามารถใช้วิธี executeGraphql หรือวิธีแบบอ่านอย่างเดียว
executeGraphqlRead ได้
การสวมบทบาทเป็นผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์
เมื่อเรียกใช้การดำเนินการสาธารณะด้วย Admin SDK คุณควรหลีกเลี่ยงการเรียกใช้
การดำเนินการที่มีสิทธิ์ของผู้ดูแลระบบแบบเต็ม (ตามหลักการของสิทธิ์ขั้นต่ำที่สุด) แต่คุณควรเรียกใช้การดำเนินการในฐานะผู้ใช้ที่แอบอ้าง
(ดูส่วนถัดไป) หรือในฐานะผู้ใช้ที่แอบอ้าง
ที่ไม่ได้รับการตรวจสอบสิทธิ์ ผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์จะเรียกใช้ได้เฉพาะการดำเนินการที่ทำเครื่องหมายเป็น
PUBLIC
// Query to get posts, with authentication level PUBLIC
const queryGetPostsImpersonation = `
query getPosts @auth(level: PUBLIC) {
posts {
description
}
}`;
// Attempt to access data as an unauthenticated user
const optionsUnauthenticated: GraphqlOptions<undefined> = {
impersonate: {
unauthenticated: true
}
};
// executeGraphql with impersonated unauthenticated user scope
const gqlResponse = await dataConnect.executeGraphql<UserData, undefined>(queryGetPostsImpersonation, optionsUnauthenticated);
การแอบอ้างเป็นผู้ใช้
นอกจากนี้ ยังมีกรณีที่คุณต้องการให้สคริปต์แก้ไขข้อมูลผู้ใช้โดยอิงตามข้อมูลเข้าสู่ระบบแบบจำกัดในนามของผู้ใช้ที่เฉพาะเจาะจง แนวทางนี้เป็นไปตาม หลักการให้สิทธิ์ขั้นต่ำที่สุด
หากต้องการใช้อินเทอร์เฟซนี้ ให้รวบรวมข้อมูลจากโทเค็นการให้สิทธิ์ JWT ที่กำหนดเองซึ่ง เป็นไปตามรูปแบบโทเค็น Authentication นอกจากนี้ โปรดดูคู่มือโทเค็นที่กำหนดเอง
// Get the current user's data
const queryGetUserImpersonation = `
query getUser @auth(level: USER) {
user(key: {uid_expr: "auth.uid"}) {
id,
name
}
}`;
// Impersonate a user with the specified auth claims
const optionsAuthenticated: GraphqlOptions<undefined> = {
impersonate: {
authClaims: {
sub: 'QVBJcy5ndXJ1'
}
}
};
// executeGraphql with impersonated authenticated user scope
const gqlResponse = await dataConnect.executeGraphql<UserData, undefined>(queryGetUserImpersonation, optionsAuthenticated);
// gqlResponse -> { "data": { "user": { "id": "QVBJcy5ndXJ1", "name": "Fred" } } }
ใช้ข้อมูลเข้าสู่ระบบของผู้ดูแลระบบ
หากคุณดำเนินการที่ต้องใช้สิทธิ์ระดับผู้ดูแลระบบ ให้นำพารามิเตอร์ การแอบอ้างออกจากคำสั่งเรียก
// User can be publicly accessible, or restricted to admins
const query = "query getProfile(id: AuthID) { user(id: $id) { id name } }";
interface UserData {
user: {
id: string;
name: string;
};
}
export interface UserVariables {
id: string;
}
const options:GraphqlOptions<UserVariables> = { variables: { id: "QVBJcy5ndXJ1" } };
// executeGraphql
const gqlResponse = await dataConnect.executeGraphql<UserData, UserVariables>(query, options);
// executeGraphqlRead (similar to previous sample but only for read operations)
const gqlResponse = await dataConnect.executeGraphqlRead<UserData, UserVariables>(query, options);
// gqlResponse -> { "data": { "user": { "id": "QVBJcy5ndXJ1", "name": "Fred" } } }
การดำเนินการที่เรียกในลักษณะนี้จะมีสิทธิ์เข้าถึงฐานข้อมูลโดยสมบูรณ์ หากคุณมีคำค้นหาหรือการเปลี่ยนแปลงที่มีไว้เพื่อใช้เพื่อวัตถุประสงค์ในการดูแลระบบเท่านั้น คุณควรระบุคำค้นหาหรือการเปลี่ยนแปลงเหล่านั้นด้วยคำสั่ง @auth(level: NO_ACCESS) การดำเนินการนี้จะช่วยให้มั่นใจได้ว่าเฉพาะผู้ที่โทรในระดับผู้ดูแลระบบเท่านั้นที่จะดำเนินการเหล่านี้ได้
ดำเนินการกับข้อมูลแบบกลุ่ม
Firebase ขอแนะนำให้คุณใช้ Admin SDK สำหรับการดำเนินการข้อมูลแบบกลุ่มในฐานข้อมูลการผลิต
SDK มีเมธอดต่อไปนี้สําหรับการทํางานกับข้อมูลจํานวนมาก จากอาร์กิวเมนต์ที่ระบุ แต่ละเมธอดจะสร้างและเรียกใช้การเปลี่ยนแปลง GraphQL
// Methods of the bulk operations API
// dc is a Data Connect admin instance from getDataConnect
const resp = await dc.insert("movie" /*table name*/, data[0]);
const resp = await dc.insertMany("movie" /*table name*/, data);
const resp = await dc.upsert("movie" /*table name*/, data[0]);
const resp = await dc.upsertMany("movie" /*table name*/, data);
หมายเหตุเกี่ยวกับประสิทธิภาพสำหรับการดำเนินการแบบกลุ่ม
คำขอแต่ละรายการที่ส่งไปยังแบ็กเอนด์จะทำให้เกิดการรับส่งข้อมูลไปยัง Cloud SQL 1 รอบ ดังนั้นยิ่งคุณส่งเป็นกลุ่มมากเท่าใด อัตราการส่งข้อมูลก็จะยิ่งสูงขึ้นเท่านั้น
อย่างไรก็ตาม ยิ่งขนาดกลุ่มใหญ่ขึ้น คำสั่ง SQL ที่สร้างขึ้นก็จะยิ่งยาวขึ้น เมื่อถึงขีดจำกัดความยาวของคำสั่ง SQL ของ PostgreSQL คุณจะพบข้อผิดพลาด
ในทางปฏิบัติ ให้ทดลองเพื่อหาขนาดกลุ่มที่เหมาะสมสำหรับภาระงานของคุณ
ขั้นตอนต่อไปคืออะไร
- ดูข้อมูลเกี่ยวกับการเริ่มต้นใช้งานฐานข้อมูลด้วยข้อมูลโดยใช้ Admin SDK
- ดู API สำหรับ Admin SDK
- ใช้ Firebase CLI และคอนโซล Google Cloud สำหรับการดำเนินการจัดการโปรเจ็กต์อื่นๆ เช่น การจัดการสคีมาและตัวเชื่อมต่อ และการจัดการบริการและฐานข้อมูล