التحكّم في الوصول باستخدام المطالبات المخصّصة وقواعد الأمان

تتيح حزمة تطوير البرامج (SDK) لمشرف Firebase تحديد سمات مخصّصة في حسابات المستخدمين. سيوفر ذلك إمكانية تنفيذ استراتيجيات متنوعة للتحكم في الوصول بما في ذلك التحكّم في الوصول استنادًا إلى الدور، في تطبيقات Firebase. هذه السمات المخصصة منح المستخدمين مستويات مختلفة من الوصول (الأدوار)، والتي يتم فرضها في قواعد أمان التطبيق.

يمكن تحديد أدوار المستخدمين للحالات الشائعة التالية:

  • منح المستخدم امتيازات المشرف للوصول إلى البيانات والموارد.
  • تحديد المجموعات المختلفة التي ينتمي إليها المستخدم.
  • توفير الوصول المتعدّد المستويات:
    • التفريق بين المشتركين في الخدمة المدفوعة وغير المدفوعة.
    • التفريق بين المشرفين والمستخدمين العاديين
    • الطلبات المقدّمة من المعلّمين أو الطلاب، وما إلى ذلك
  • أضِف معرّفًا إضافيًا للمستخدم. على سبيل المثال، يمكن لمستخدم Firebase الربط بمعرّف فريد مختلف في نظام آخر.

لنفكر في حالة تريد فيها تقييد الوصول إلى عقدة قاعدة البيانات "adminContent." يمكنك القيام بذلك باستخدام البحث في قاعدة البيانات على قائمة المستخدمين المشرفين. ومع ذلك، يمكنك تحقيق نفس الهدف بشكل أكثر كفاءة باستخدام مطالبة مستخدم مخصّص باسم admin باستخدام القاعدة Realtime Database التالية:

{
  "rules": {
    "adminContent": {
      ".read": "auth.token.admin === true",
      ".write": "auth.token.admin === true",
    }
  }
}

يمكن الوصول إلى مطالبات المستخدمين المخصّصة من خلال الرموز المميّزة للمصادقة الخاصة بالمستخدم. في المثال أعلاه، فقط المستخدمون الذين تم ضبط القيمة admin لهم على "صحيح" في المطالبة بالرمز المميّز على القراءة/الكتابة إمكانية الوصول إلى عقدة adminContent. ونظرًا لأنّ الرمز المميّز للمعرّف يحتوي على هذه لا يلزم إجراء عمليات بحث أو معالجة إضافية للتحقق من وصول المشرف الأذونات. فضلاً عن ذلك، يُعد الرمز المميز للمعرّف آلية موثوق بها لتقديم هذه المطالبات المخصّصة يجب أن تتحقّق جميع عمليات الوصول التي تمت مصادقتها من صحة الرمز المميّز للمعرّف قبل معالجة الطلب ذي الصلة.

يتم الاعتماد على أمثلة التعليمات البرمجية والحلول الموضحة في هذه الصفحة من كل من واجهات برمجة التطبيقات لمصادقة Firebase من جهة العميل وواجهات برمجة التطبيقات للمصادقة من جهة الخادم التي توفّرها SDK للمشرف.

ضبط مطالبات المستخدمين المخصّصة والتحقّق منها من خلال "حزمة تطوير البرامج (SDK) الخاصة بالمشرف"

يمكن أن تحتوي المطالبات المخصّصة على بيانات حسّاسة، لذلك يجب ضبطها فقط. من بيئة خادم متميزة بواسطة SDK لمشرف Firebase.

Node.js

// Set admin privilege on the user corresponding to uid.

getAuth()
  .setCustomUserClaims(uid, { admin: true })
  .then(() => {
    // The new custom claims will propagate to the user's ID token the
    // next time a new one is issued.
  });

جافا

// Set admin privilege on the user corresponding to uid.
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.

Python

# Set admin privilege on the user corresponding to uid.
auth.set_custom_user_claims(uid, {'admin': True})
# The new custom claims will propagate to the user's ID token the
# next time a new one is issued.

انتقال

// Get an auth client from the firebase.App
client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}

// Set admin privilege on the user corresponding to uid.
claims := map[string]interface{}{"admin": true}
err = client.SetCustomUserClaims(ctx, uid, claims)
if err != nil {
	log.Fatalf("error setting custom claims %v\n", err)
}
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.

#C

// Set admin privileges on the user corresponding to uid.
var claims = new Dictionary<string, object>()
{
    { "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.

يجب ألا يحتوي عنصر المطالبات المخصّصة على الأسماء الرئيسية المحجوزة لـ OIDC أو أسماء محجوزة في Firebase يجب ألا تتجاوز حمولة المطالبات المخصصة 1,000 بايت.

يمكن للرمز المميّز للمعرّف الذي تم إرساله إلى خادم الخلفية تأكيد هوية المستخدم ووصوله. باستخدام SDK للمشرف على النحو التالي:

Node.js

// Verify the ID token first.
getAuth()
  .verifyIdToken(idToken)
  .then((claims) => {
    if (claims.admin === true) {
      // Allow access to requested admin resource.
    }
  });

جافا

// Verify the ID token first.
FirebaseToken decoded = FirebaseAuth.getInstance().verifyIdToken(idToken);
if (Boolean.TRUE.equals(decoded.getClaims().get("admin"))) {
  // Allow access to requested admin resource.
}

Python

# Verify the ID token first.
claims = auth.verify_id_token(id_token)
if claims['admin'] is True:
    # Allow access to requested admin resource.
    pass

انتقال

// Verify the ID token first.
token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
	log.Fatal(err)
}

claims := token.Claims
if admin, ok := claims["admin"]; ok {
	if admin.(bool) {
		//Allow access to requested admin resource.
	}
}

#C

// Verify the ID token first.
FirebaseToken decoded = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(idToken);
object isAdmin;
if (decoded.Claims.TryGetValue("admin", out isAdmin))
{
    if ((bool)isAdmin)
    {
        // Allow access to requested admin resource.
    }
}

يمكنك أيضًا الاطّلاع على مطالبات المستخدم المخصّصة الحالية، وهي متاحة كـ السمة في كائن المستخدم:

Node.js

// Lookup the user associated with the specified uid.
getAuth()
  .getUser(uid)
  .then((userRecord) => {
    // The claims can be accessed on the user record.
    console.log(userRecord.customClaims['admin']);
  });

جافا

// Lookup the user associated with the specified uid.
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
System.out.println(user.getCustomClaims().get("admin"));

Python

# Lookup the user associated with the specified uid.
user = auth.get_user(uid)
# The claims can be accessed on the user record.
print(user.custom_claims.get('admin'))

انتقال

// Lookup the user associated with the specified uid.
user, err := client.GetUser(ctx, uid)
if err != nil {
	log.Fatal(err)
}
// The claims can be accessed on the user record.
if admin, ok := user.CustomClaims["admin"]; ok {
	if admin.(bool) {
		log.Println(admin)
	}
}

#C

// Lookup the user associated with the specified uid.
UserRecord user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine(user.CustomClaims["admin"]);

يمكنك حذف مطالبات المستخدم المخصصة من خلال تمرير قيمة فارغة لـ customClaims.

نشر المطالبات المخصّصة للعميل

يتم نشر المطالبات الجديدة التي يتم تعديلها للمستخدم من خلال "SDK للمشرف". إلى مستخدم مصادَق عليه من جهة العميل من خلال الرمز المميّز للمعرّف في ما يلي الطرق:

  • يسجّل المستخدم الدخول أو يعيد المصادقة بعد تعديل المطالبات المخصّصة. وسيتضمّن رمز التعريف المميّز الذي تم إصداره نتيجةً لذلك أحدث المطالبات.
  • وتتم إعادة تحميل الرمز المميّز للمعرّف لجلسة مستخدم حالية بعد انتهاء صلاحية رمز مميّز قديم.
  • تتم إعادة تحميل الرمز المميّز للمعرّف من خلال طلب الرقم currentUser.getIdToken(true).

الوصول إلى المطالبات المخصّصة على العميل

يمكن استرداد المطالبات المخصّصة فقط من خلال الرمز المميّز لمعرّف المستخدم. الوصول إلى هذه قد تكون هناك حاجة إلى المطالبة لتعديل واجهة مستخدم العميل استنادًا إلى دور المستخدم أو مستوى الوصول. ومع ذلك، يجب دائمًا فرض الوصول إلى الخلفية من خلال المعرّف. بعد التحقق من صحته وتحليل مطالباته. يجب عدم تقديم مطالبات مخصّصة يتم إرساله مباشرةً إلى الواجهة الخلفية، نظرًا لأنه لا يمكن الوثوق بها خارج الرمز.

بعد نشر آخر المطالبات إلى الرمز المميز لمعرّف المستخدم، يمكنك الحصول عليها من خلال استرداد الرمز المميز للمعرف:

JavaScript

firebase.auth().currentUser.getIdTokenResult()
  .then((idTokenResult) => {
     // Confirm the user is an Admin.
     if (!!idTokenResult.claims.admin) {
       // Show admin UI.
       showAdminUI();
     } else {
       // Show regular user UI.
       showRegularUI();
     }
  })
  .catch((error) => {
    console.log(error);
  });

Android

user.getIdToken(false).addOnSuccessListener(new OnSuccessListener<GetTokenResult>() {
  @Override
  public void onSuccess(GetTokenResult result) {
    boolean isAdmin = result.getClaims().get("admin");
    if (isAdmin) {
      // Show admin UI.
      showAdminUI();
    } else {
      // Show regular user UI.
      showRegularUI();
    }
  }
});

Swift

user.getIDTokenResult(completion: { (result, error) in
  guard let admin = result?.claims?["admin"] as? NSNumber else {
    // Show regular user UI.
    showRegularUI()
    return
  }
  if admin.boolValue {
    // Show admin UI.
    showAdminUI()
  } else {
    // Show regular user UI.
    showRegularUI()
  }
})

Objective-C

user.getIDTokenResultWithCompletion:^(FIRAuthTokenResult *result,
                                      NSError *error) {
  if (error != nil) {
    BOOL *admin = [result.claims[@"admin"] boolValue];
    if (admin) {
      // Show admin UI.
      [self showAdminUI];
    } else {
      // Show regular user UI.
      [self showRegularUI];
    }
  }
}];

أفضل الممارسات المتعلقة بالمطالبات المخصّصة

تُستخدَم المطالبات المخصّصة فقط لتوفير إمكانية التحكم في الوصول. لم يتم تصميمها تخزين بيانات إضافية (مثل الملف الشخصي والبيانات المخصّصة الأخرى). في حين أن هذا قد آلية مناسبة للقيام بذلك، إلا أننا لا يُنصح باستخدامها لأن هذه يتم تخزين المطالبات في الرمز المميز للمعرّف ويمكن أن يتسبب ذلك في حدوث مشاكل في الأداء لأن جميع تحتوي الطلبات التي تمت مصادقتها دائمًا على رمز مميز لمعرّف Firebase يتوافق مع المستخدم الذي سجّل الدخول.

  • استخدام المطالبات المخصّصة لتخزين البيانات للتحكم في وصول المستخدمين فقط ويجب تخزين جميع البيانات الأخرى بشكل منفصل عن طريق قاعدة البيانات في الوقت الفعلي أو غيرها من مساحات التخزين من جانب الخادم.
  • تكون المطالبات المخصّصة محدودة الحجم. سيؤدي تجاوز حمولة مطالبات مخصصة أكبر من 1,000 بايت إلى حدوث خطأ.

الأمثلة وحالات الاستخدام

توضّح الأمثلة التالية المطالبات المخصّصة في سياقٍ خاص حالات الاستخدام في Firebase

تحديد الأدوار عبر وظائف Firebase عند إنشاء المستخدمين

في هذا المثال، يتم تحديد المطالبات المخصّصة لمستخدم معيَّن باستخدام Cloud Functions

يمكن إضافة المطالبات المخصّصة باستخدام Cloud Functions، ونشرها على الفور. مع Realtime Database. يتم استدعاء الدالة فقط عند الاشتراك باستخدام onCreate . بعد تعيين المطالبات المخصّصة، يتم نشرها على كل المطالبات الحالية الجلسات المستقبلية. في المرة التالية التي يسجّل فيها المستخدم الدخول باستخدام بيانات اعتماد المستخدم، فإن الرمز يحتوي على المطالبات المخصصة.

التنفيذ من جهة العميل (JavaScript)

const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.catch(error => {
  console.log(error);
});

let callback = null;
let metadataRef = null;
firebase.auth().onAuthStateChanged(user => {
  // Remove previous listener.
  if (callback) {
    metadataRef.off('value', callback);
  }
  // On user login add new listener.
  if (user) {
    // Check if refresh is required.
    metadataRef = firebase.database().ref('metadata/' + user.uid + '/refreshTime');
    callback = (snapshot) => {
      // Force refresh to pick up the latest custom claims changes.
      // Note this is always triggered on first call. Further optimization could be
      // added to avoid the initial trigger when the token is issued and already contains
      // the latest claims.
      user.getIdToken(true);
    };
    // Subscribe new listener to changes on that node.
    metadataRef.on('value', callback);
  }
});

منطق "Cloud Functions"

عقدة قاعدة بيانات جديدة (metadata/($uid)} مع تقييد القراءة/الكتابة على إضافة مستخدم تمت مصادقته.

const functions = require('firebase-functions');
const { initializeApp } = require('firebase-admin/app');
const { getAuth } = require('firebase-admin/auth');
const { getDatabase } = require('firebase-admin/database');

initializeApp();

// On sign up.
exports.processSignUp = functions.auth.user().onCreate(async (user) => {
  // Check if user meets role criteria.
  if (
    user.email &&
    user.email.endsWith('@admin.example.com') &&
    user.emailVerified
  ) {
    const customClaims = {
      admin: true,
      accessLevel: 9
    };

    try {
      // Set custom user claims on this newly created user.
      await getAuth().setCustomUserClaims(user.uid, customClaims);

      // Update real-time database to notify client to force refresh.
      const metadataRef = getDatabase().ref('metadata/' + user.uid);

      // Set the refresh time to the current UTC timestamp.
      // This will be captured on the client to force a token refresh.
      await  metadataRef.set({refreshTime: new Date().getTime()});
    } catch (error) {
      console.log(error);
    }
  }
});

قواعد قاعدة البيانات

{
  "rules": {
    "metadata": {
      "$user_id": {
        // Read access only granted to the authenticated user.
        ".read": "$user_id === auth.uid",
        // Write access only via Admin SDK.
        ".write": false
      }
    }
  }
}

تحديد الأدوار عبر طلب HTTP

يحدد المثال التالي مطالبات مخصصة لمستخدم سجّل دخوله حديثًا من خلال طلب HTTP.

التنفيذ من جهة العميل (JavaScript)

const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.then((result) => {
  // User is signed in. Get the ID token.
  return result.user.getIdToken();
})
.then((idToken) => {
  // Pass the ID token to the server.
  $.post(
    '/setCustomClaims',
    {
      idToken: idToken
    },
    (data, status) => {
      // This is not required. You could just wait until the token is expired
      // and it proactively refreshes.
      if (status == 'success' && data) {
        const json = JSON.parse(data);
        if (json && json.status == 'success') {
          // Force token refresh. The token claims will contain the additional claims.
          firebase.auth().currentUser.getIdToken(true);
        }
      }
    });
}).catch((error) => {
  console.log(error);
});

تنفيذ الواجهة الخلفية (SDK للمشرف)

app.post('/setCustomClaims', async (req, res) => {
  // Get the ID token passed.
  const idToken = req.body.idToken;

  // Verify the ID token and decode its payload.
  const claims = await getAuth().verifyIdToken(idToken);

  // Verify user is eligible for additional privileges.
  if (
    typeof claims.email !== 'undefined' &&
    typeof claims.email_verified !== 'undefined' &&
    claims.email_verified &&
    claims.email.endsWith('@admin.example.com')
  ) {
    // Add custom claims for additional privileges.
    await getAuth().setCustomUserClaims(claims.sub, {
      admin: true
    });

    // Tell client to refresh token on user.
    res.end(JSON.stringify({
      status: 'success'
    }));
  } else {
    // Return nothing.
    res.end(JSON.stringify({ status: 'ineligible' }));
  }
});

يمكن استخدام المسار نفسه عند ترقية مستوى وصول مستخدم حالي. على سبيل المثال، تتم ترقية المستخدم إلى اشتراك مدفوع مجانًا. رقم تعريف المستخدم يتم إرسال الرمز مع معلومات الدفع إلى خادم الخلفية عبر HTTP طلبك. عند معالجة الدفعة بنجاح، يتم ضبط المستخدم على حساب مدفوع. مشترك عبر SDK للمشرف. يتم إرجاع استجابة HTTP ناجحة إلى فرض تحديث الرمز المميّز للعميل.

تحديد الأدوار عبر النص البرمجي للخلفية

يمكن ضبط نص برمجي متكرر (لم يبدأه العميل) للتشغيل على تعديل المطالبات المخصّصة للمستخدم:

Node.js

getAuth()
  .getUserByEmail('user@admin.example.com')
  .then((user) => {
    // Confirm user is verified.
    if (user.emailVerified) {
      // Add custom claims for additional privileges.
      // This will be picked up by the user on token refresh or next sign in on new device.
      return getAuth().setCustomUserClaims(user.uid, {
        admin: true,
      });
    }
  })
  .catch((error) => {
    console.log(error);
  });

جافا

UserRecord user = FirebaseAuth.getInstance()
    .getUserByEmail("user@admin.example.com");
// Confirm user is verified.
if (user.isEmailVerified()) {
  Map<String, Object> claims = new HashMap<>();
  claims.put("admin", true);
  FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), claims);
}

Python

user = auth.get_user_by_email('user@admin.example.com')
# Confirm user is verified
if user.email_verified:
    # Add custom claims for additional privileges.
    # This will be picked up by the user on token refresh or next sign in on new device.
    auth.set_custom_user_claims(user.uid, {
        'admin': True
    })

انتقال

user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
	log.Fatal(err)
}
// Confirm user is verified
if user.EmailVerified {
	// Add custom claims for additional privileges.
	// This will be picked up by the user on token refresh or next sign in on new device.
	err := client.SetCustomUserClaims(ctx, user.UID, map[string]interface{}{"admin": true})
	if err != nil {
		log.Fatalf("error setting custom claims %v\n", err)
	}

}

#C

UserRecord user = await FirebaseAuth.DefaultInstance
    .GetUserByEmailAsync("user@admin.example.com");
// Confirm user is verified.
if (user.EmailVerified)
{
    var claims = new Dictionary<string, object>()
    {
        { "admin", true },
    };
    await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}

يمكن أيضًا تعديل المطالبات المخصّصة بشكل تدريجي من خلال "حزمة تطوير البرامج (SDK) الخاصة بالمشرف":

Node.js

getAuth()
  .getUserByEmail('user@admin.example.com')
  .then((user) => {
    // Add incremental custom claim without overwriting existing claims.
    const currentCustomClaims = user.customClaims;
    if (currentCustomClaims['admin']) {
      // Add level.
      currentCustomClaims['accessLevel'] = 10;
      // Add custom claims for additional privileges.
      return getAuth().setCustomUserClaims(user.uid, currentCustomClaims);
    }
  })
  .catch((error) => {
    console.log(error);
  });

جافا

UserRecord user = FirebaseAuth.getInstance()
    .getUserByEmail("user@admin.example.com");
// Add incremental custom claim without overwriting the existing claims.
Map<String, Object> currentClaims = user.getCustomClaims();
if (Boolean.TRUE.equals(currentClaims.get("admin"))) {
  // Add level.
  currentClaims.put("level", 10);
  // Add custom claims for additional privileges.
  FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), currentClaims);
}

Python

user = auth.get_user_by_email('user@admin.example.com')
# Add incremental custom claim without overwriting existing claims.
current_custom_claims = user.custom_claims
if current_custom_claims.get('admin'):
    # Add level.
    current_custom_claims['accessLevel'] = 10
    # Add custom claims for additional privileges.
    auth.set_custom_user_claims(user.uid, current_custom_claims)

انتقال

user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
	log.Fatal(err)
}
// Add incremental custom claim without overwriting existing claims.
currentCustomClaims := user.CustomClaims
if currentCustomClaims == nil {
	currentCustomClaims = map[string]interface{}{}
}

if _, found := currentCustomClaims["admin"]; found {
	// Add level.
	currentCustomClaims["accessLevel"] = 10
	// Add custom claims for additional privileges.
	err := client.SetCustomUserClaims(ctx, user.UID, currentCustomClaims)
	if err != nil {
		log.Fatalf("error setting custom claims %v\n", err)
	}

}

#C

UserRecord user = await FirebaseAuth.DefaultInstance
    .GetUserByEmailAsync("user@admin.example.com");
// Add incremental custom claims without overwriting the existing claims.
object isAdmin;
if (user.CustomClaims.TryGetValue("admin", out isAdmin) && (bool)isAdmin)
{
    var claims = user.CustomClaims.ToDictionary(kvp => kvp.Key, kvp => kvp.Value);
    // Add level.
    var level = 10;
    claims["level"] = level;
    // Add custom claims for additional privileges.
    await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}