אימות טוקנים של PNV ב-Firebase

כשהספרייה Firebase PNV מאמתת בהצלחה את מספר הטלפון של מכשיר, היא מחזירה את מספר הטלפון המאומת ואת טוקן חתום שמכיל אותו. אם אתם משתמשים במספר הטלפון המאומת מחוץ ללקוח האפליקציה, כדאי להעביר את האסימון במקום את מספר הטלפון עצמו, כדי שתוכלו לאמת את השלמות שלו כשאתם משתמשים בו. כדי לאמת את האסימון, אפשר להשתמש בכל ספרייה לאימות JWT. אפשר להשתמש בספרייה כדי לאמת את כל הפרטים הבאים:

  • הכותרת typ מוגדרת ל-JWT.

  • האסימון נחתם באמצעות אחד מהמפתחות שפורסמו בנקודת הקצה Firebase PNV JWKS עם האלגוריתם ES256:

    https://fpnv.googleapis.com/v1beta/jwks

  • התביעות של המנפיק מכילות את מספר הפרויקט שלכם ב-Firebase והן בפורמט הבא:

    https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_NUMBER

    מספר פרויקט Firebase מופיע בדף הגדרות הפרויקט במסוף Firebase.

  • הצהרת הקהל היא רשימה שמכילה את מספר הפרויקט ומזהה הפרויקט ב-Firebase, והיא מופיעה בפורמט הבא:

    [
  https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_NUMBER,
  https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_ID,
]

  • הטוקן עדיין בתוקף.

דוגמה

לדוגמה, אפליקציית Express.js הבאה מקבלת טוקן Firebase PNV מבקשת HTTP POST ומשתמשת בספריית אימות JWT כדי לבדוק את החתימה והטענות של הטוקן:

Node.js

import express from "express";
import { JwtVerifier } from "aws-jwt-verify";

// Find your Firebase project number in the Firebase console.
const FIREBASE_PROJECT_NUMBER = "123456789";

// The issuer and audience claims of the FPNV token are specific to your
// project.
const issuer = `https://fpnv.googleapis.com/projects/${FIREBASE_PROJECT_NUMBER}`;
const audience = `https://fpnv.googleapis.com/projects/${FIREBASE_PROJECT_NUMBER}`;

// The JWKS URL contains the current public signing keys for FPNV tokens.
const jwksUri = "https://fpnv.googleapis.com/v1beta/jwks";

// Configure a JWT verifier to check the following:
// - The token is signed by Google
// - The issuer and audience claims match your project
// - The token has not yet expired (default behavior)
const fpnvVerifier = JwtVerifier.create({ issuer, audience, jwksUri });

const app = express();

app.post('/verifiedPhoneNumber', async (req, res) => {
    if (!req.body) return res.sendStatus(400);
    // Get the token from the body of the request.
    const fpnvToken = req.body;
    try {
        // Attempt to verify the token using the verifier configured
        previously.
        const verifiedPayload = await fpnvVerifier.verify(fpnvToken);

        // If verification succeeds, the subject claim of the token contains the
        // verified phone number. You can use this value however it's needed by
        // your app.
        const verifiedPhoneNumber = verifiedPayload.sub;
        // (Do something with it...)

        return res.sendStatus(200);
    } catch {
        // If verification fails, reject the token.
        return res.sendStatus(400);
    }
});

app.listen(3000);