تتيح حزمة تطوير البرامج (SDK) لمشرف Firebase تحديد سمات مخصّصة في حسابات المستخدمين. يوفر ذلك إمكانية تنفيذ استراتيجيات متنوعة للتحكُّم في الوصول، بما في ذلك التحكُّم في الوصول على أساس الدور، في تطبيقات Firebase. يمكن لهذه السمات المخصصة أن تمنح المستخدمين مستويات مختلفة من الوصول (الأدوار)، والتي يتم فرضها في قواعد الأمان للتطبيق.
يمكن تحديد أدوار المستخدمين للحالات الشائعة التالية:
- منح المستخدم امتيازات المشرف للوصول إلى البيانات والموارد.
- تحديد المجموعات المختلفة التي ينتمي إليها المستخدم.
- توفير الوصول المتعدّد المستويات:
- التفريق بين المشتركين في الخدمة المدفوعة وغير المدفوعة.
- التفريق بين المشرفين والمستخدمين العاديين
- الطلبات المقدّمة من المعلّمين أو الطلاب، وما إلى ذلك
- أضِف معرّفًا إضافيًا للمستخدم. على سبيل المثال، يمكن لمستخدم Firebase الربط بمعرّف فريد مختلف في نظام آخر.
لنفكر في الحالة التي تريد فيها تقييد الوصول إلى عقدة قاعدة البيانات
"adminContent". يمكنك القيام بذلك باستخدام البحث في قاعدة البيانات على قائمة
المستخدمين المشرفين. مع ذلك، يمكنك تحقيق الهدف نفسه بشكل أكثر كفاءة باستخدام
مطالبة مستخدم مخصّصة باسم admin باستخدام قاعدة قاعدة بيانات الوقت الفعلي التالية:
{
"rules": {
"adminContent": {
".read": "auth.token.admin === true",
".write": "auth.token.admin === true",
}
}
}
يمكن الوصول إلى مطالبات المستخدمين المخصّصة من خلال الرموز المميّزة للمصادقة الخاصة بالمستخدم.
في المثال أعلاه، لن يحصل سوى المستخدمين الذين تم ضبط admin على "صحيح" في المطالبة بالرمز المميّز على إذن بالقراءة أو الكتابة في العقدة adminContent. وبما أنّ الرمز المميّز لرقم التعريف يحتوي حاليًا على هذه التأكيدات،
لا حاجة إلى معالجة أو بحث إضافي للتحقّق من أذونات المشرف. بالإضافة إلى ذلك، يُعدّ الرمز المميّز للمعرّف آلية موثوق بها لتقديم هذه المطالبات المخصّصة. يجب أن تتحقّق جميع عمليات الوصول التي تمت مصادقتها من صحة الرمز المميّز للمعرّف قبل معالجة الطلب المرتبط.
تستند أمثلة الرموز والحلول الموضّحة في هذه الصفحة إلى كلٍّ من واجهات برمجة تطبيقات المصادقة في Firebase من جهة العميل وواجهات برمجة التطبيقات Auth من جهة الخادم التي توفّرها حزمة تطوير البرامج (SDK) للمشرف.
ضبط مطالبات المستخدمين المخصّصة والتحقّق منها من خلال "حزمة تطوير البرامج (SDK) الخاصة بالمشرف"
يمكن أن تحتوي المطالبات المخصّصة على بيانات حسّاسة، لذلك يجب ضبطها من بيئة خادم محمية فقط باستخدام حزمة تطوير البرامج (SDK) لمشرف Firebase.
Node.js
// Set admin privilege on the user corresponding to uid.
getAuth()
.setCustomUserClaims(uid, { admin: true })
.then(() => {
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
});
Java
// Set admin privilege on the user corresponding to uid.
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
Python
# Set admin privilege on the user corresponding to uid.
auth.set_custom_user_claims(uid, {'admin': True})
# The new custom claims will propagate to the user's ID token the
# next time a new one is issued.
Go
// Get an auth client from the firebase.App
client, err := app.Auth(ctx)
if err != nil {
log.Fatalf("error getting Auth client: %v\n", err)
}
// Set admin privilege on the user corresponding to uid.
claims := map[string]interface{}{"admin": true}
err = client.SetCustomUserClaims(ctx, uid, claims)
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
C#
// Set admin privileges on the user corresponding to uid.
var claims = new Dictionary<string, object>()
{
{ "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
يجب ألا يحتوي عنصر المطالبات المخصّصة على أي أسماء مفاتيح محجوزة من خلال OIDC أو أسماء محجوزة في Firebase. يجب ألا تتجاوز حمولة المطالبات المخصصة 1,000 بايت.
يمكن للرمز المميّز لرقم التعريف الذي تم إرساله إلى خادم الخلفية تأكيد هوية المستخدم ومستوى وصوله باستخدام "SDK للمشرف" على النحو التالي:
Node.js
// Verify the ID token first.
getAuth()
.verifyIdToken(idToken)
.then((claims) => {
if (claims.admin === true) {
// Allow access to requested admin resource.
}
});
Java
// Verify the ID token first.
FirebaseToken decoded = FirebaseAuth.getInstance().verifyIdToken(idToken);
if (Boolean.TRUE.equals(decoded.getClaims().get("admin"))) {
// Allow access to requested admin resource.
}
Python
# Verify the ID token first.
claims = auth.verify_id_token(id_token)
if claims['admin'] is True:
# Allow access to requested admin resource.
pass
Go
// Verify the ID token first.
token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
log.Fatal(err)
}
claims := token.Claims
if admin, ok := claims["admin"]; ok {
if admin.(bool) {
//Allow access to requested admin resource.
}
}
C#
// Verify the ID token first.
FirebaseToken decoded = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(idToken);
object isAdmin;
if (decoded.Claims.TryGetValue("admin", out isAdmin))
{
if ((bool)isAdmin)
{
// Allow access to requested admin resource.
}
}
يمكنك أيضًا الاطّلاع على المطالبات المخصّصة الحالية لأحد المستخدمين، والتي تكون متاحة كموقع في عنصر المستخدم:
Node.js
// Lookup the user associated with the specified uid.
getAuth()
.getUser(uid)
.then((userRecord) => {
// The claims can be accessed on the user record.
console.log(userRecord.customClaims['admin']);
});
Java
// Lookup the user associated with the specified uid.
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
System.out.println(user.getCustomClaims().get("admin"));
Python
# Lookup the user associated with the specified uid.
user = auth.get_user(uid)
# The claims can be accessed on the user record.
print(user.custom_claims.get('admin'))
Go
// Lookup the user associated with the specified uid.
user, err := client.GetUser(ctx, uid)
if err != nil {
log.Fatal(err)
}
// The claims can be accessed on the user record.
if admin, ok := user.CustomClaims["admin"]; ok {
if admin.(bool) {
log.Println(admin)
}
}
C#
// Lookup the user associated with the specified uid.
UserRecord user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine(user.CustomClaims["admin"]);
يمكنك حذف مطالبات المستخدم المخصصة من خلال تمرير قيمة فارغة لـ customClaims.
نشر المطالبات المخصّصة للعميل
بعد تعديل المطالبات الجديدة على مستخدم من خلال "SDK للمشرف"، يتم نشرها إلى مستخدم تمت مصادقته من جهة العميل من خلال الرمز المميّز للمعرّف على النحو التالي:
- يسجّل المستخدم الدخول أو يعيد المصادقة بعد تعديل المطالبات المخصّصة. وسيتضمّن رمز التعريف المميّز الذي تم إصداره نتيجةً لذلك أحدث المطالبات.
- وتتم إعادة تحميل الرمز المميّز للمعرّف لجلسة مستخدم حالية بعد انتهاء صلاحية رمز مميّز قديم.
- تتم إعادة تحميل الرمز المميّز للمعرّف من خلال طلب الرقم
currentUser.getIdToken(true).
الوصول إلى المطالبات المخصّصة على العميل
يمكن استرداد المطالبات المخصّصة فقط من خلال الرمز المميّز لمعرّف المستخدم. قد يكون الوصول إلى هذه المطالبات ضروريًا لتعديل واجهة مستخدم العميل استنادًا إلى دور المستخدم أو مستوى وصوله. ومع ذلك، يجب دائمًا فرض الوصول إلى الخلفية من خلال الرمز المميّز للمعرّف بعد التحقّق منه وتحليل مطالباته. يجب عدم إرسال المطالبات المخصّصة مباشرةً إلى الخلفية، إذ لا يمكن الوثوق بها خارج الرمز المميّز.
بعد نشر أحدث المطالبات إلى الرمز المميّز لمعرّف المستخدم، يمكنك الحصول عليها من خلال استرداد الرمز المميّز للمعرّف:
JavaScript
firebase.auth().currentUser.getIdTokenResult()
.then((idTokenResult) => {
// Confirm the user is an Admin.
if (!!idTokenResult.claims.admin) {
// Show admin UI.
showAdminUI();
} else {
// Show regular user UI.
showRegularUI();
}
})
.catch((error) => {
console.log(error);
});
Android
user.getIdToken(false).addOnSuccessListener(new OnSuccessListener<GetTokenResult>() {
@Override
public void onSuccess(GetTokenResult result) {
boolean isAdmin = result.getClaims().get("admin");
if (isAdmin) {
// Show admin UI.
showAdminUI();
} else {
// Show regular user UI.
showRegularUI();
}
}
});
Swift
user.getIDTokenResult(completion: { (result, error) in
guard let admin = result?.claims?["admin"] as? NSNumber else {
// Show regular user UI.
showRegularUI()
return
}
if admin.boolValue {
// Show admin UI.
showAdminUI()
} else {
// Show regular user UI.
showRegularUI()
}
})
Objective-C
user.getIDTokenResultWithCompletion:^(FIRAuthTokenResult *result,
NSError *error) {
if (error != nil) {
BOOL *admin = [result.claims[@"admin"] boolValue];
if (admin) {
// Show admin UI.
[self showAdminUI];
} else {
// Show regular user UI.
[self showRegularUI];
}
}
}];
أفضل الممارسات المتعلقة بالمطالبات المخصّصة
تُستخدَم المطالبات المخصّصة فقط لتوفير إمكانية التحكم في الوصول. وهي غير مصممة لتخزين بيانات إضافية (مثل الملف الشخصي والبيانات المخصصة الأخرى). قد تبدو هذه الطريقة مناسبة تمامًا لإجراء ذلك، إلا أنّنا لا ننصح باستخدامها لأنّ هذه المطالبات مخزنة في الرمز المميّز لرقم التعريف، ما قد يؤدي إلى مشاكل في الأداء لأنّ جميع الطلبات التي تمت مصادقتها تحتوي دائمًا على رمز مميّز لمعرّف Firebase يكون مطابقًا للمستخدم الذي سجّل الدخول.
- استخدام المطالبات المخصّصة لتخزين البيانات للتحكم في وصول المستخدمين فقط ويجب تخزين جميع البيانات الأخرى بشكل منفصل عن طريق قاعدة البيانات في الوقت الفعلي أو غيرها من مساحات التخزين من جانب الخادم.
- تكون المطالبات المخصّصة محدودة الحجم. سيؤدي تجاوز حمولة مطالبات مخصصة أكبر من 1,000 بايت إلى حدوث خطأ.
الأمثلة وحالات الاستخدام
توضّح الأمثلة التالية المطالبات المخصّصة في سياق حالات استخدام محدّدة على Firebase.
تحديد الأدوار عبر وظائف Firebase عند إنشاء المستخدمين
في هذا المثال، يتم تحديد المطالبات المخصّصة للمستخدم الذي أنشأه باستخدام دوال Cloud.
يمكن إضافة المطالبات المخصّصة باستخدام دوال Cloud، ونشرها على الفور باستخدام قاعدة بيانات الوقت الفعلي. يتم استدعاء الدالة عند الاشتراك فقط باستخدام عامل تشغيل onCreate. بعد ضبط المطالبات المخصّصة، يتم نشرها على كل الجلسات الحالية والمستقبلية. في المرة التالية التي يسجّل فيها المستخدم الدخول باستخدام بيانات اعتماد المستخدم،
يحتوي الرمز المميّز على المطالبات المخصّصة.
التنفيذ من جهة العميل (JavaScript)
const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.catch(error => {
console.log(error);
});
let callback = null;
let metadataRef = null;
firebase.auth().onAuthStateChanged(user => {
// Remove previous listener.
if (callback) {
metadataRef.off('value', callback);
}
// On user login add new listener.
if (user) {
// Check if refresh is required.
metadataRef = firebase.database().ref('metadata/' + user.uid + '/refreshTime');
callback = (snapshot) => {
// Force refresh to pick up the latest custom claims changes.
// Note this is always triggered on first call. Further optimization could be
// added to avoid the initial trigger when the token is issued and already contains
// the latest claims.
user.getIdToken(true);
};
// Subscribe new listener to changes on that node.
metadataRef.on('value', callback);
}
});
منطق وظائف السحابة الإلكترونية
تتم إضافة عقدة قاعدة بيانات جديدة (metadata/($uid)} مع تقييد القراءة/الكتابة على المستخدم الذي تمت المصادقة عليه.
const functions = require('firebase-functions');
const { initializeApp } = require('firebase-admin/app');
const { getAuth } = require('firebase-admin/auth');
const { getDatabase } = require('firebase-admin/database');
initializeApp();
// On sign up.
exports.processSignUp = functions.auth.user().onCreate(async (user) => {
// Check if user meets role criteria.
if (
user.email &&
user.email.endsWith('@admin.example.com') &&
user.emailVerified
) {
const customClaims = {
admin: true,
accessLevel: 9
};
try {
// Set custom user claims on this newly created user.
await getAuth().setCustomUserClaims(user.uid, customClaims);
// Update real-time database to notify client to force refresh.
const metadataRef = getDatabase().ref('metadata/' + user.uid);
// Set the refresh time to the current UTC timestamp.
// This will be captured on the client to force a token refresh.
await metadataRef.set({refreshTime: new Date().getTime()});
} catch (error) {
console.log(error);
}
}
});
قواعد قاعدة البيانات
{
"rules": {
"metadata": {
"$user_id": {
// Read access only granted to the authenticated user.
".read": "$user_id === auth.uid",
// Write access only via Admin SDK.
".write": false
}
}
}
}
تحديد الأدوار عبر طلب HTTP
يحدّد المثال التالي مطالبات مخصّصة لمستخدم سجّل دخوله حديثًا عبر طلب HTTP.
التنفيذ من جهة العميل (JavaScript)
const provider = new firebase.auth.GoogleAuthProvider();
firebase.auth().signInWithPopup(provider)
.then((result) => {
// User is signed in. Get the ID token.
return result.user.getIdToken();
})
.then((idToken) => {
// Pass the ID token to the server.
$.post(
'/setCustomClaims',
{
idToken: idToken
},
(data, status) => {
// This is not required. You could just wait until the token is expired
// and it proactively refreshes.
if (status == 'success' && data) {
const json = JSON.parse(data);
if (json && json.status == 'success') {
// Force token refresh. The token claims will contain the additional claims.
firebase.auth().currentUser.getIdToken(true);
}
}
});
}).catch((error) => {
console.log(error);
});
تنفيذ الواجهة الخلفية (SDK للمشرف)
app.post('/setCustomClaims', async (req, res) => {
// Get the ID token passed.
const idToken = req.body.idToken;
// Verify the ID token and decode its payload.
const claims = await getAuth().verifyIdToken(idToken);
// Verify user is eligible for additional privileges.
if (
typeof claims.email !== 'undefined' &&
typeof claims.email_verified !== 'undefined' &&
claims.email_verified &&
claims.email.endsWith('@admin.example.com')
) {
// Add custom claims for additional privileges.
await getAuth().setCustomUserClaims(claims.sub, {
admin: true
});
// Tell client to refresh token on user.
res.end(JSON.stringify({
status: 'success'
}));
} else {
// Return nothing.
res.end(JSON.stringify({ status: 'ineligible' }));
}
});
يمكن استخدام المسار نفسه عند ترقية مستوى وصول مستخدم حالي. على سبيل المثال، تتم ترقية المستخدم إلى اشتراك مدفوع مجانًا. يتم إرسال الرمز المميز لمعرف المستخدم مع معلومات الدفع إلى خادم الخلفية عبر طلب HTTP. عند معالجة الدفعة بنجاح، يتم ضبط المستخدم كمشترك مدفوع من خلال "SDK للمشرف". يتم إرجاع استجابة HTTP ناجحة إلى العميل لفرض تحديث الرمز المميز.
تحديد الأدوار عبر النص البرمجي للخلفية
يمكن إعداد نص برمجي متكرر (لم يبدأه العميل) للتشغيل لتعديل مطالبات المستخدم المخصّصة:
Node.js
getAuth()
.getUserByEmail('user@admin.example.com')
.then((user) => {
// Confirm user is verified.
if (user.emailVerified) {
// Add custom claims for additional privileges.
// This will be picked up by the user on token refresh or next sign in on new device.
return getAuth().setCustomUserClaims(user.uid, {
admin: true,
});
}
})
.catch((error) => {
console.log(error);
});
Java
UserRecord user = FirebaseAuth.getInstance()
.getUserByEmail("user@admin.example.com");
// Confirm user is verified.
if (user.isEmailVerified()) {
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), claims);
}
Python
user = auth.get_user_by_email('user@admin.example.com')
# Confirm user is verified
if user.email_verified:
# Add custom claims for additional privileges.
# This will be picked up by the user on token refresh or next sign in on new device.
auth.set_custom_user_claims(user.uid, {
'admin': True
})
Go
user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
log.Fatal(err)
}
// Confirm user is verified
if user.EmailVerified {
// Add custom claims for additional privileges.
// This will be picked up by the user on token refresh or next sign in on new device.
err := client.SetCustomUserClaims(ctx, user.UID, map[string]interface{}{"admin": true})
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
}
C#
UserRecord user = await FirebaseAuth.DefaultInstance
.GetUserByEmailAsync("user@admin.example.com");
// Confirm user is verified.
if (user.EmailVerified)
{
var claims = new Dictionary<string, object>()
{
{ "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}
يمكن أيضًا تعديل المطالبات المخصّصة بشكل تدريجي من خلال "حزمة تطوير البرامج (SDK) الخاصة بالمشرف":
Node.js
getAuth()
.getUserByEmail('user@admin.example.com')
.then((user) => {
// Add incremental custom claim without overwriting existing claims.
const currentCustomClaims = user.customClaims;
if (currentCustomClaims['admin']) {
// Add level.
currentCustomClaims['accessLevel'] = 10;
// Add custom claims for additional privileges.
return getAuth().setCustomUserClaims(user.uid, currentCustomClaims);
}
})
.catch((error) => {
console.log(error);
});
Java
UserRecord user = FirebaseAuth.getInstance()
.getUserByEmail("user@admin.example.com");
// Add incremental custom claim without overwriting the existing claims.
Map<String, Object> currentClaims = user.getCustomClaims();
if (Boolean.TRUE.equals(currentClaims.get("admin"))) {
// Add level.
currentClaims.put("level", 10);
// Add custom claims for additional privileges.
FirebaseAuth.getInstance().setCustomUserClaims(user.getUid(), currentClaims);
}
Python
user = auth.get_user_by_email('user@admin.example.com')
# Add incremental custom claim without overwriting existing claims.
current_custom_claims = user.custom_claims
if current_custom_claims.get('admin'):
# Add level.
current_custom_claims['accessLevel'] = 10
# Add custom claims for additional privileges.
auth.set_custom_user_claims(user.uid, current_custom_claims)
Go
user, err := client.GetUserByEmail(ctx, "user@admin.example.com")
if err != nil {
log.Fatal(err)
}
// Add incremental custom claim without overwriting existing claims.
currentCustomClaims := user.CustomClaims
if currentCustomClaims == nil {
currentCustomClaims = map[string]interface{}{}
}
if _, found := currentCustomClaims["admin"]; found {
// Add level.
currentCustomClaims["accessLevel"] = 10
// Add custom claims for additional privileges.
err := client.SetCustomUserClaims(ctx, user.UID, currentCustomClaims)
if err != nil {
log.Fatalf("error setting custom claims %v\n", err)
}
}
C#
UserRecord user = await FirebaseAuth.DefaultInstance
.GetUserByEmailAsync("user@admin.example.com");
// Add incremental custom claims without overwriting the existing claims.
object isAdmin;
if (user.CustomClaims.TryGetValue("admin", out isAdmin) && (bool)isAdmin)
{
var claims = user.CustomClaims.ToDictionary(kvp => kvp.Key, kvp => kvp.Value);
// Add level.
var level = 10;
claims["level"] = level;
// Add custom claims for additional privileges.
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(user.Uid, claims);
}