Zarządzaj sesjami użytkowników

Firebase Authentication sesje są długotrwałe. Za każdym razem, gdy użytkownik się loguje, jego dane logowania są wysyłane do Firebase Authentication backendu i wymieniane na token identyfikatora Firebase (JWT) oraz token odświeżania. Tokeny identyfikatora Firebase są krótkotrwałe i wygasają po godzinie. Token odświeżania można użyć do pobrania nowych tokenów identyfikatora. Tokeny odświeżania wygasają tylko wtedy, gdy:

• użytkownik zostanie usunięty,
• konto użytkownika zostanie wyłączone,
• wykryta zostanie poważna zmiana na koncie użytkownika. Dotyczy to zdarzeń takich jak aktualizacja hasła lub adresu e-mail.

Pakiet Firebase Admin SDK umożliwia unieważnienie tokenów odświeżania określonego użytkownika. Dodatkowo udostępniany jest też interfejs API do sprawdzania, czy token identyfikatora został unieważniony. Dzięki tym możliwościom masz większą kontrolę nad sesjami użytkowników. Pakiet SDK umożliwia dodawanie ograniczeń, które uniemożliwiają korzystanie z sesji w podejrzanych okolicznościach, a także mechanizm odzyskiwania w przypadku potencjalnej kradzieży tokena.

Unieważnianie tokenów odświeżania

Możesz unieważnić dotychczasowy token odświeżania użytkownika, gdy zgłosi on utratę lub kradzież urządzenia. Podobnie, jeśli wykryjesz ogólną lukę w zabezpieczeniach lub podejrzewasz wyciek aktywnych tokenów na dużą skalę, możesz użyć listUsers interfejsu API, aby wyszukać wszystkich użytkowników i unieważnić ich tokeny w określonym projekcie.

Resetowanie hasła powoduje też unieważnienie dotychczasowych tokenów użytkownika. W takim przypadku Firebase Authentication backend automatycznie unieważnia token. Po unieważnieniu tokena użytkownik zostaje wylogowany i musi ponownie się uwierzytelnić.

Oto przykładowa implementacja, która używa pakietu Admin SDK do unieważnienia tokena odświeżania danego użytkownika. Aby zainicjować pakiet Admin SDK, postępuj zgodnie z instrukcjami na stronie konfiguracji.

// Revoke all refresh tokens for a specified user for whatever reason.
// Retrieve the timestamp of the revocation, in seconds since the epoch.
getAuth()
  .revokeRefreshTokens(uid)
  .then(() => {
    return getAuth().getUser(uid);
  })
  .then((userRecord) => {
    return new Date(userRecord.tokensValidAfterTime).getTime() / 1000;
  })
  .then((timestamp) => {
    console.log(`Tokens revoked at: ${timestamp}`);
  });

FirebaseAuth.getInstance().revokeRefreshTokens(uid);
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
// Convert to seconds as the auth_time in the token claims is in seconds too.
long revocationSecond = user.getTokensValidAfterTimestamp() / 1000;
System.out.println("Tokens revoked at: " + revocationSecond);

# Revoke tokens on the backend.
auth.revoke_refresh_tokens(uid)
user = auth.get_user(uid)
# Convert to seconds as the auth_time in the token claims is in seconds.
revocation_second = user.tokens_valid_after_timestamp / 1000
print(f'Tokens revoked at: {revocation_second}')

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}
if err := client.RevokeRefreshTokens(ctx, uid); err != nil {
	log.Fatalf("error revoking tokens for user: %v, %v\n", uid, err)
}
// accessing the user's TokenValidAfter
u, err := client.GetUser(ctx, uid)
if err != nil {
	log.Fatalf("error getting user %s: %v\n", uid, err)
}
timestamp := u.TokensValidAfterMillis / 1000
log.Printf("the refresh tokens were revoked at: %d (UTC seconds) ", timestamp)
auth.go

await FirebaseAuth.DefaultInstance.RevokeRefreshTokensAsync(uid);
var user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine("Tokens revoked at: " + user.TokensValidAfterTimestamp);
FirebaseAuthSnippets.cs

Wykrywanie unieważnienia tokena identyfikatora

Ponieważ tokeny identyfikatora Firebase są bezstanowymi tokenami JWT, możesz stwierdzić, że token został unieważniony, tylko wtedy, gdy poprosisz o jego stan z Firebase Authentication backendu. Z tego powodu wykonanie tego sprawdzenia na serwerze jest kosztowną operacją, która wymaga dodatkowej podróży w obie strony w sieci. Możesz uniknąć wysyłania tego żądania sieciowego, konfigurując Firebase Security Rules które sprawdzają, czy token został unieważniony zamiast używać pakietu Admin SDK do przeprowadzenia tego sprawdzenia.

Wykrywanie unieważnienia tokena identyfikatora w Firebase Security Rules

Aby wykryć unieważnienie tokena identyfikatora za pomocą reguł bezpieczeństwa, musimy najpierw zapisać metadane specyficzne dla użytkownika.

Aktualizowanie metadanych specyficznych dla użytkownika w Firebase Realtime Database.

Zapisz sygnaturę czasową unieważnienia tokena odświeżania. Jest to potrzebne do śledzenia unieważnienia tokena identyfikatora za pomocą Firebase Security Rules. Umożliwia to wydajne sprawdzanie w bazie danych. W poniższych przykładach kodu użyj identyfikatora UID i czasu unieważnienia uzyskanych w poprzedniej sekcji.

const metadataRef = getDatabase().ref('metadata/' + uid);
metadataRef.set({ revokeTime: utcRevocationTimeSecs }).then(() => {
  console.log('Database updated successfully.');
});

DatabaseReference ref = FirebaseDatabase.getInstance().getReference("metadata/" + uid);
Map<String, Object> userData = new HashMap<>();
userData.put("revokeTime", revocationSecond);
ref.setValueAsync(userData);

metadata_ref = firebase_admin.db.reference("metadata/" + uid)
metadata_ref.set({'revokeTime': revocation_second})

Dodawanie sprawdzenia do Firebase Security Rules

Aby wymusić to sprawdzenie, skonfiguruj regułę bez dostępu do zapisu po stronie klienta, aby przechowywać czas unieważnienia dla każdego użytkownika. Można go zaktualizować za pomocą sygnatury czasowej UTC ostatniego czasu unieważnienia, jak pokazano w poprzednich przykładach:

{
  "rules": {
    "metadata": {
      "$user_id": {
        // this could be false as it is only accessed from backend or rules.
        ".read": "$user_id === auth.uid",
        ".write": "false",
      }
    }
  }
}

Wszystkie dane, które wymagają uwierzytelnionego dostępu, muszą mieć skonfigurowaną tę regułę. Ta logika umożliwia dostęp do chronionych danych tylko uwierzytelnionym użytkownikom z nieunieważnionymi tokenami identyfikatora:

{
  "rules": {
    "users": {
      "$user_id": {
        ".read": "auth != null && $user_id === auth.uid && (
            !root.child('metadata').child(auth.uid).child('revokeTime').exists()
          || auth.token.auth_time > root.child('metadata').child(auth.uid).child('revokeTime').val()
        )",
        ".write": "auth != null && $user_id === auth.uid && (
            !root.child('metadata').child(auth.uid).child('revokeTime').exists()
          || auth.token.auth_time > root.child('metadata').child(auth.uid).child('revokeTime').val()
        )",
      }
    }
  }
}

Wykrywanie unieważnienia tokena identyfikatora w pakiecie SDK

Na serwerze zaimplementuj tę logikę unieważniania tokena odświeżania i weryfikacji tokena identyfikatora:

Gdy token identyfikatora użytkownika ma zostać zweryfikowany, do funkcji verifyIdToken należy przekazać dodatkową flagę logiczną checkRevoked. Jeśli token użytkownika zostanie unieważniony, użytkownik powinien zostać wylogowany na kliencie lub poproszony o ponowne uwierzytelnienie za pomocą interfejsów API ponownego uwierzytelnienia udostępnianych przez pakiety SDK klienta Firebase Authentication.

Aby zainicjować pakiet Admin SDK na swojej platformie, postępuj zgodnie z instrukcjami na stronie konfiguracji. Przykłady pobierania tokena identyfikatora znajdziesz w sekcji verifyIdToken.

// Verify the ID token while checking if the token is revoked by passing
// checkRevoked true.
let checkRevoked = true;
getAuth()
  .verifyIdToken(idToken, checkRevoked)
  .then((payload) => {
    // Token is valid.
  })
  .catch((error) => {
    if (error.code == 'auth/id-token-revoked') {
      // Token has been revoked. Inform the user to reauthenticate or signOut() the user.
    } else {
      // Token is invalid.
    }
  });

try {
  // Verify the ID token while checking if the token is revoked by passing checkRevoked
  // as true.
  boolean checkRevoked = true;
  FirebaseToken decodedToken = FirebaseAuth.getInstance()
      .verifyIdToken(idToken, checkRevoked);
  // Token is valid and not revoked.
  String uid = decodedToken.getUid();
} catch (FirebaseAuthException e) {
  if (e.getAuthErrorCode() == AuthErrorCode.REVOKED_ID_TOKEN) {
    // Token has been revoked. Inform the user to re-authenticate or signOut() the user.
  } else {
    // Token is invalid.
  }
}

try:
    # Verify the ID token while checking if the token is revoked by
    # passing check_revoked=True.
    decoded_token = auth.verify_id_token(id_token, check_revoked=True)
    # Token is valid and not revoked.
    uid = decoded_token['uid']
except auth.RevokedIdTokenError:
    # Token revoked, inform the user to reauthenticate or signOut().
    pass
except auth.UserDisabledError:
    # Token belongs to a disabled user record.
    pass
except auth.InvalidIdTokenError:
    # Token is invalid
    pass

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}
token, err := client.VerifyIDTokenAndCheckRevoked(ctx, idToken)
if err != nil {
	if err.Error() == "ID token has been revoked" {
		// Token is revoked. Inform the user to reauthenticate or signOut() the user.
	} else {
		// Token is invalid
	}
}
log.Printf("Verified ID token: %v\n", token)
auth.go

try
{
    // Verify the ID token while checking if the token is revoked by passing checkRevoked
    // as true.
    bool checkRevoked = true;
    var decodedToken = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(
        idToken, checkRevoked);
    // Token is valid and not revoked.
    string uid = decodedToken.Uid;
}
catch (FirebaseAuthException ex)
{
    if (ex.AuthErrorCode == AuthErrorCode.RevokedIdToken)
    {
        // Token has been revoked. Inform the user to re-authenticate or signOut() the user.
    }
    else
    {
        // Token is invalid.
    }
}
FirebaseAuthSnippets.cs

Reagowanie na unieważnienie tokena na kliencie

Jeśli token zostanie unieważniony za pomocą pakietu Admin SDK, klient zostanie o tym poinformowany, a użytkownik będzie musiał ponownie się uwierzytelnić lub zostanie wylogowany:

function onIdTokenRevocation() {
  // For an email/password user. Prompt the user for the password again.
  let password = prompt('Please provide your password for reauthentication');
  let credential = firebase.auth.EmailAuthProvider.credential(
      firebase.auth().currentUser.email, password);
  firebase.auth().currentUser.reauthenticateWithCredential(credential)
    .then(result => {
      // User successfully reauthenticated. New ID tokens should be valid.
    })
    .catch(error => {
      // An error occurred.
    });
}

Zaawansowane zabezpieczenia: wymuszanie ograniczeń adresów IP

Powszechnym mechanizmem zabezpieczeń do wykrywania kradzieży tokenów jest śledzenie źródeł adresów IP żądań. Jeśli na przykład żądania zawsze pochodzą z tego samego adresu IP (serwera wykonującego połączenie), można wymusić sesje z jednym adresem IP. Możesz też unieważnić token użytkownika, jeśli wykryjesz, że adres IP użytkownika nagle zmienił geolokalizację, lub jeśli otrzymasz żądanie z podejrzanego źródła.

Aby przeprowadzać kontrole bezpieczeństwa na podstawie adresu IP, w przypadku każdego uwierzytelnionego żądania sprawdź token identyfikatora i sprawdź, czy adres IP żądania pasuje do poprzednich zaufanych adresów IP lub czy mieści się w zaufanym zakresie, zanim zezwolisz na dostęp do danych objętych ograniczeniami. Przykład:

app.post('/getRestrictedData', (req, res) => {
  // Get the ID token passed.
  const idToken = req.body.idToken;
  // Verify the ID token, check if revoked and decode its payload.
  admin.auth().verifyIdToken(idToken, true).then((claims) => {
    // Get the user's previous IP addresses, previously saved.
    return getPreviousUserIpAddresses(claims.sub);
  }).then(previousIpAddresses => {
    // Get the request IP address.
    const requestIpAddress = req.connection.remoteAddress;
    // Check if the request IP address origin is suspicious relative to previous
    // IP addresses. The current request timestamp and the auth_time of the ID
    // token can provide additional signals of abuse especially if the IP address
    // suddenly changed. If there was a sudden location change in a
    // short period of time, then it will give stronger signals of possible abuse.
    if (!isValidIpAddress(previousIpAddresses, requestIpAddress)) {
      // Invalid IP address, take action quickly and revoke all user's refresh tokens.
      revokeUserTokens(claims.uid).then(() => {
        res.status(401).send({error: 'Unauthorized access. Please login again!'});
      }, error => {
        res.status(401).send({error: 'Unauthorized access. Please login again!'});
      });
    } else {
      // Access is valid. Try to return data.
      getData(claims).then(data => {
        res.end(JSON.stringify(data);
      }, error => {
        res.status(500).send({ error: 'Server error!' })
      });
    }
  });
});