Zarządzaj sesjami użytkowników

Firebase Authentication sesji trwa od dawna. Przy każdym logowaniu dane logowania użytkownika są wysyłane do backendu Firebase Authentication i wymieniane na Token identyfikatora Firebase (JWT) i token odświeżania. Tokeny identyfikatora Firebase są krótkotrwałe i trwają godzinę, token odświeżania może służyć do pobierania nowych tokenów tożsamości. Tokeny odświeżania tracą ważność tylko wtedy, gdy:

• Konto użytkownika zostało usunięte
• Użytkownik jest wyłączony
• Wykryto dużą zmianę na koncie użytkownika. Obejmuje to m.in. aktualizację hasła lub adresu e-mail.

Pakiet SDK Firebase Admin umożliwia unieważnianie tokenów odświeżania określonego użytkownika. Dodatkowo interfejs API do sprawdzania unieważnienia tokena tożsamości jest też zostały udostępnione. Te funkcje pozwalają skuteczniej kontrolować sesji. Pakiet SDK umożliwia dodawanie ograniczeń, które zapobiegają sesjom przed użyciem w podejrzanych okolicznościach, a także mechanizm odzyskiwania przed potencjalnym kradzieżą tokenów.

Unieważnij tokeny odświeżania

Możesz unieważnić istniejący token odświeżania użytkownika, gdy użytkownik zgłosi zagubienie lub skradzionego urządzenia. Podobnie, jeśli wykryjesz ogólną lukę w zabezpieczeniach lub podejrzewasz wycieku aktywnych tokenów na dużą skalę, możesz użyć listUsers Interfejs API do wyszukiwania wszystkich użytkowników i unieważniania ich tokenów dla określonego projektu.

Resetowanie hasła anuluje też istniejące tokeny użytkownika. jednak Backend interfejsu Firebase Authentication automatycznie obsługuje unieważnienie. Po cofnięciu unieważnienia użytkownik zostanie wylogowany i poprosi o ponowne uwierzytelnienie.

Oto przykład implementacji, w której użyto pakietu Admin SDK do unieważnienia odświeżenia danego użytkownika. Aby zainicjować pakiet Admin SDK, postępuj zgodnie z instrukcjami na stronie stronę konfiguracji.

// Revoke all refresh tokens for a specified user for whatever reason.
// Retrieve the timestamp of the revocation, in seconds since the epoch.
getAuth()
  .revokeRefreshTokens(uid)
  .then(() => {
    return getAuth().getUser(uid);
  })
  .then((userRecord) => {
    return new Date(userRecord.tokensValidAfterTime).getTime() / 1000;
  })
  .then((timestamp) => {
    console.log(`Tokens revoked at: ${timestamp}`);
  });

FirebaseAuth.getInstance().revokeRefreshTokens(uid);
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
// Convert to seconds as the auth_time in the token claims is in seconds too.
long revocationSecond = user.getTokensValidAfterTimestamp() / 1000;
System.out.println("Tokens revoked at: " + revocationSecond);

# Revoke tokens on the backend.
auth.revoke_refresh_tokens(uid)
user = auth.get_user(uid)
# Convert to seconds as the auth_time in the token claims is in seconds.
revocation_second = user.tokens_valid_after_timestamp / 1000
print('Tokens revoked at: {0}'.format(revocation_second))

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}
if err := client.RevokeRefreshTokens(ctx, uid); err != nil {
	log.Fatalf("error revoking tokens for user: %v, %v\n", uid, err)
}
// accessing the user's TokenValidAfter
u, err := client.GetUser(ctx, uid)
if err != nil {
	log.Fatalf("error getting user %s: %v\n", uid, err)
}
timestamp := u.TokensValidAfterMillis / 1000
log.Printf("the refresh tokens were revoked at: %d (UTC seconds) ", timestamp)
auth.go

await FirebaseAuth.DefaultInstance.RevokeRefreshTokensAsync(uid);
var user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine("Tokens revoked at: " + user.TokensValidAfterTimestamp);
FirebaseAuthSnippets.cs

Wykrywanie unieważnienia tokena tożsamości

Tokeny identyfikatora Firebase są bezstanowymi tokenami JWT, więc możesz określić, zostało unieważnione tylko przez przesłanie prośby o stan tokena do Firebase Authentication z backendem. Z tego powodu przeprowadzenie takiego sprawdzania na serwerze jest drogie co wymaga dodatkowego połączenia w obie strony. Można uniknąć żądania sieciowe, konfigurując zasadę Firebase Security Rules, która sprawdza datę ważności zamiast używać pakietu Admin SDK.

Wykrywa unieważnienie tokena tożsamości w Firebase Security Rules

Aby wykrywać unieważnienie tokena tożsamości za pomocą reguł zabezpieczeń, musimy zapisze się najpierw metadane poszczególnych użytkowników.

Zaktualizuj metadane dotyczące konkretnego użytkownika w usłudze Firebase Realtime Database.

Zapisz sygnaturę czasową unieważnienia tokena odświeżania. Jest to wymagane do śledzenia tokena tożsamości unieważnienie w usłudze Firebase Security Rules. Pozwala to na skuteczną kontrolę w bazie danych. W poniższych przykładach kodu użyj identyfikatora UID i czasu unieważnienia uzyskanego w poprzedniej sekcji.

const metadataRef = getDatabase().ref('metadata/' + uid);
metadataRef.set({ revokeTime: utcRevocationTimeSecs }).then(() => {
  console.log('Database updated successfully.');
});

DatabaseReference ref = FirebaseDatabase.getInstance().getReference("metadata/" + uid);
Map<String, Object> userData = new HashMap<>();
userData.put("revokeTime", revocationSecond);
ref.setValueAsync(userData);

metadata_ref = firebase_admin.db.reference("metadata/" + uid)
metadata_ref.set({'revokeTime': revocation_second})

Dodaj czek do: Firebase Security Rules

Aby wymusić to sprawdzanie, skonfiguruj regułę, która nie ma uprawnień do zapisu w celu przechowywania czas unieważnienia na użytkownika. Można go zaktualizować o sygnaturę czasową UTC czas ostatniego unieważnienia – jak w poprzednich przykładach:

{
  "rules": {
    "metadata": {
      "$user_id": {
        // this could be false as it is only accessed from backend or rules.
        ".read": "$user_id === auth.uid",
        ".write": "false",
      }
    }
  }
}

Wszystkie dane wymagające uwierzytelnionego dostępu muszą zawierać tę regułę skonfigurowany. Ta logika zezwala tylko na uwierzytelnionych użytkowników z nieunieważnionym identyfikatorem tokeny dostępu do chronionych danych:

{
  "rules": {
    "users": {
      "$user_id": {
        ".read": "auth != null && $user_id === auth.uid && (
            !root.child('metadata').child(auth.uid).child('revokeTime').exists()
          || auth.token.auth_time > root.child('metadata').child(auth.uid).child('revokeTime').val()
        )",
        ".write": "auth != null && $user_id === auth.uid && (
            !root.child('metadata').child(auth.uid).child('revokeTime').exists()
          || auth.token.auth_time > root.child('metadata').child(auth.uid).child('revokeTime').val()
        )",
      }
    }
  }
}

Wykrywaj unieważnienie tokena tożsamości w pakiecie SDK.

Zaimplementuj na serwerze następującą logikę do unieważniania tokena odświeżania i tokena identyfikatora:

W przypadku weryfikacji tokenu identyfikatora użytkownika dodatkowy checkRevoked flagę wartości logicznej należy przekazać do verifyIdToken. Jeśli token użytkownika to użytkownik powinien zostać wylogowany w kliencie lub poprosić o ponowne uwierzytelnienie za pomocą interfejsów API do ponownego uwierzytelniania udostępnianych przez pakiety SDK klienta Firebase Authentication.

Aby zainicjować pakiet Admin SDK dla swojej platformy, postępuj zgodnie z instrukcjami na stronę konfiguracji. Przykłady pobierania identyfikatora Tokeny verifyIdToken.

// Verify the ID token while checking if the token is revoked by passing
// checkRevoked true.
let checkRevoked = true;
getAuth()
  .verifyIdToken(idToken, checkRevoked)
  .then((payload) => {
    // Token is valid.
  })
  .catch((error) => {
    if (error.code == 'auth/id-token-revoked') {
      // Token has been revoked. Inform the user to reauthenticate or signOut() the user.
    } else {
      // Token is invalid.
    }
  });

try {
  // Verify the ID token while checking if the token is revoked by passing checkRevoked
  // as true.
  boolean checkRevoked = true;
  FirebaseToken decodedToken = FirebaseAuth.getInstance()
      .verifyIdToken(idToken, checkRevoked);
  // Token is valid and not revoked.
  String uid = decodedToken.getUid();
} catch (FirebaseAuthException e) {
  if (e.getAuthErrorCode() == AuthErrorCode.REVOKED_ID_TOKEN) {
    // Token has been revoked. Inform the user to re-authenticate or signOut() the user.
  } else {
    // Token is invalid.
  }
}

try:
    # Verify the ID token while checking if the token is revoked by
    # passing check_revoked=True.
    decoded_token = auth.verify_id_token(id_token, check_revoked=True)
    # Token is valid and not revoked.
    uid = decoded_token['uid']
except auth.RevokedIdTokenError:
    # Token revoked, inform the user to reauthenticate or signOut().
    pass
except auth.UserDisabledError:
    # Token belongs to a disabled user record.
    pass
except auth.InvalidIdTokenError:
    # Token is invalid
    pass

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}
token, err := client.VerifyIDTokenAndCheckRevoked(ctx, idToken)
if err != nil {
	if err.Error() == "ID token has been revoked" {
		// Token is revoked. Inform the user to reauthenticate or signOut() the user.
	} else {
		// Token is invalid
	}
}
log.Printf("Verified ID token: %v\n", token)
auth.go

try
{
    // Verify the ID token while checking if the token is revoked by passing checkRevoked
    // as true.
    bool checkRevoked = true;
    var decodedToken = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(
        idToken, checkRevoked);
    // Token is valid and not revoked.
    string uid = decodedToken.Uid;
}
catch (FirebaseAuthException ex)
{
    if (ex.AuthErrorCode == AuthErrorCode.RevokedIdToken)
    {
        // Token has been revoked. Inform the user to re-authenticate or signOut() the user.
    }
    else
    {
        // Token is invalid.
    }
}
FirebaseAuthSnippets.cs

Odpowiadanie na unieważnienie tokena klienta

Jeśli token zostanie unieważniony za pomocą pakietu Admin SDK, klient zostanie poinformowany o unieważnienie, a użytkownik powinien ponownie uwierzytelnić się lub zostanie wylogowany:

function onIdTokenRevocation() {
  // For an email/password user. Prompt the user for the password again.
  let password = prompt('Please provide your password for reauthentication');
  let credential = firebase.auth.EmailAuthProvider.credential(
      firebase.auth().currentUser.email, password);
  firebase.auth().currentUser.reauthenticateWithCredential(credential)
    .then(result => {
      // User successfully reauthenticated. New ID tokens should be valid.
    })
    .catch(error => {
      // An error occurred.
    });
}

Zabezpieczenia zaawansowane: wymuszanie ograniczeń adresów IP

Typowym mechanizmem wykrywania kradzieży tokenów jest śledzenie żądania źródeł adresów IP. Jeśli na przykład żądania zawsze pochodzą z tego samego adresu IP (serwer wywołujący serwer), sesje z jednym adresem IP mogą być egzekwowane. Możesz też unieważnić token użytkownika, jeśli stwierdzisz, że jego adres IP nagle zmienił geolokalizację lub otrzymujesz żądanie od podejrzanego źródła.

Przeprowadzanie kontroli zabezpieczeń na podstawie adresu IP dla każdego uwierzytelnionego żądania sprawdź token identyfikatora i sprawdź, czy adres IP żądania pasuje do poprzedniego zaufanych adresów IP lub należy do zaufanego zakresu, zanim zezwolisz na dostęp do ograniczonych danych. Przykład:

app.post('/getRestrictedData', (req, res) => {
  // Get the ID token passed.
  const idToken = req.body.idToken;
  // Verify the ID token, check if revoked and decode its payload.
  admin.auth().verifyIdToken(idToken, true).then((claims) => {
    // Get the user's previous IP addresses, previously saved.
    return getPreviousUserIpAddresses(claims.sub);
  }).then(previousIpAddresses => {
    // Get the request IP address.
    const requestIpAddress = req.connection.remoteAddress;
    // Check if the request IP address origin is suspicious relative to previous
    // IP addresses. The current request timestamp and the auth_time of the ID
    // token can provide additional signals of abuse especially if the IP address
    // suddenly changed. If there was a sudden location change in a
    // short period of time, then it will give stronger signals of possible abuse.
    if (!isValidIpAddress(previousIpAddresses, requestIpAddress)) {
      // Invalid IP address, take action quickly and revoke all user's refresh tokens.
      revokeUserTokens(claims.uid).then(() => {
        res.status(401).send({error: 'Unauthorized access. Please login again!'});
      }, error => {
        res.status(401).send({error: 'Unauthorized access. Please login again!'});
      });
    } else {
      // Access is valid. Try to return data.
      getData(claims).then(data => {
        res.end(JSON.stringify(data);
      }, error => {
        res.status(500).send({ error: 'Server error!' })
      });
    }
  });
});