Если ваше клиентское приложение Firebase взаимодействует с собственным бэкэнд-сервером, вам может потребоваться идентифицировать текущего авторизованного пользователя на этом сервере. Для этого, после успешного входа в систему, отправьте токен ID пользователя на ваш сервер по протоколу HTTPS. Затем на сервере проверьте целостность и подлинность токена ID и получите из него идентификатор пользователя uid . Вы можете использовать переданный таким образом uid для безопасной идентификации текущего авторизованного пользователя на вашем сервере.
Прежде чем начать
Для проверки токенов идентификации с помощью Firebase Admin SDK вам необходима учетная запись службы. Для получения дополнительной информации о том, как инициализировать Admin SDK с помощью учетной записи службы, следуйте инструкциям по настройке Admin SDK .
Получение токенов идентификации на клиентах
Когда пользователь или устройство успешно входят в систему, Firebase создает соответствующий идентификационный токен, который однозначно идентифицирует их и предоставляет доступ к ряду ресурсов, таких как Firebase Realtime Database и Cloud Storage . Вы можете повторно использовать этот идентификационный токен для идентификации пользователя или устройства на вашем собственном бэкэнд-сервере. Чтобы получить идентификационный токен от клиента, убедитесь, что пользователь вошел в систему, а затем получите идентификационный токен от вошедшего в систему пользователя:
iOS+
Objective-C
FIRUser *currentUser = [FIRAuth auth].currentUser;
[currentUser getIDTokenForcingRefresh:YES
completion:^(NSString *_Nullable idToken,
NSError *_Nullable error) {
if (error) {
// Handle error
return;
}
// Send token to your backend via HTTPS
// ...
}];
Быстрый
let currentUser = FIRAuth.auth()?.currentUser
currentUser?.getIDTokenForcingRefresh(true) { idToken, error in
if let error = error {
// Handle error
return;
}
// Send token to your backend via HTTPS
// ...
}
Android
FirebaseUser mUser = FirebaseAuth.getInstance().getCurrentUser();
mUser.getIdToken(true)
.addOnCompleteListener(new OnCompleteListener<GetTokenResult>() {
public void onComplete(@NonNull Task<GetTokenResult> task) {
if (task.isSuccessful()) {
String idToken = task.getResult().getToken();
// Send token to your backend via HTTPS
// ...
} else {
// Handle error -> task.getException();
}
}
});
Единство
Firebase.Auth.FirebaseUser user = auth.CurrentUser;
user.TokenAsync(true).ContinueWith(task => {
if (task.IsCanceled) {
Debug.LogError("TokenAsync was canceled.");
return;
}
if (task.IsFaulted) {
Debug.LogError("TokenAsync encountered an error: " + task.Exception);
return;
}
string idToken = task.Result;
// Send token to your backend via HTTPS
// ...
});
C++
firebase::auth::User user = auth->current_user();
if (user.is_valid()) {
firebase::Future<std::string> idToken = user.GetToken(true);
// Send token to your backend via HTTPS
// ...
}
Веб
firebase.auth().currentUser.getIdToken(/* forceRefresh */ true).then(function(idToken) {
// Send token to your backend via HTTPS
// ...
}).catch(function(error) {
// Handle error
});
Получив токен ID, вы можете отправить этот JSON Web Token (JWT) на свой бэкэнд и проверить его с помощью Firebase Admin SDK или с помощью сторонней библиотеки JWT, если ваш сервер написан на языке, который Firebase не поддерживает изначально.
Проверка токенов идентификации с помощью Firebase Admin SDK.
В Firebase Admin SDK есть встроенный метод для проверки и декодирования ID-токенов. Если предоставленный ID-токен имеет правильный формат, не просрочен и корректно подписан, метод возвращает декодированный ID-токен. Из декодированного токена можно получить uid пользователя или устройства.
Следуйте инструкциям по настройке Admin SDK , чтобы инициализировать Admin SDK с помощью учетной записи службы. Затем используйте метод verifyIdToken() для проверки токена идентификации:
Node.js
// idToken comes from the client app
getAuth()
.verifyIdToken(idToken)
.then((decodedToken) => {
const uid = decodedToken.uid;
// ...
})
.catch((error) => {
// Handle error
});
Java
// idToken comes from the client app (shown above)
FirebaseToken decodedToken = FirebaseAuth.getInstance().verifyIdToken(idToken);
String uid = decodedToken.getUid();
Python
# id_token comes from the client app (shown above)
decoded_token = auth.verify_id_token(id_token)
uid = decoded_token['uid']
Идти
client, err := app.Auth(ctx)
if err != nil {
log.Fatalf("error getting Auth client: %v\n", err)
}
token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
log.Fatalf("error verifying ID token: %v\n", err)
}
log.Printf("Verified ID token: %v\n", token)
C#
FirebaseToken decodedToken = await FirebaseAuth.DefaultInstance
.VerifyIdTokenAsync(idToken);
string uid = decodedToken.Uid;
Для проверки токена ID требуется идентификатор проекта. SDK Firebase Admin пытается получить идентификатор проекта одним из следующих способов:
- Если SDK был инициализирован с явным указанием параметра
projectIdприложения, то SDK использует значение этого параметра. - Если SDK был инициализирован с использованием учетных данных сервисной учетной записи, то SDK использует поле
project_idобъекта JSON сервисной учетной записи. - Если задана переменная среды
GOOGLE_CLOUD_PROJECT, SDK использует её значение в качестве идентификатора проекта. Эта переменная среды доступна для кода, работающего на инфраструктуре Google, такой как App Engine и Compute Engine .
Проверка токенов идентификации с помощью сторонней библиотеки JWT.
Если ваш бэкэнд написан на языке, не поддерживаемом Firebase Admin SDK, вы все равно можете проверять токены ID. Сначала найдите стороннюю библиотеку JWT для вашего языка . Затем проверьте заголовок, полезную нагрузку и подпись токена ID.
Убедитесь, что заголовок токена ID соответствует следующим ограничениям:
| Заявления заголовка ID-токена | ||
|---|---|---|
alg | Алгоритм | "RS256" |
kid | Идентификатор ключа | Должен соответствовать одному из открытых ключей, перечисленных по адресу https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com |
Убедитесь, что полезная нагрузка идентификационного токена соответствует следующим ограничениям:
| Заявления о полезной нагрузке токенов ID | ||
|---|---|---|
exp | Срок действия | Должно быть, это произойдёт в будущем. Время измеряется в секундах с момента начала эпохи UNIX. |
iat | Выпущено в момент | Должно быть, это в прошлом. Время измеряется в секундах с момента начала эпохи UNIX. |
aud | Аудитория | Это должен быть идентификатор вашего проекта Firebase, уникальный идентификатор вашего проекта Firebase, который можно найти в URL-адресе консоли этого проекта. |
iss | Эмитент | Должно быть "https://securetoken.google.com/<projectId>" , где <projectId> — это тот же идентификатор проекта, который использовался для aud выше. |
sub | Предмет | Должна быть непустая строка и представлять собой uid пользователя или устройства. |
auth_time | Время аутентификации | Должно быть, это было в прошлом. Время, когда пользователь прошел аутентификацию. |
Наконец, убедитесь, что токен ID подписан закрытым ключом, соответствующим утверждению kid токена. Получите открытый ключ по адресу https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com и используйте библиотеку JWT для проверки подписи. Используйте значение max-age в заголовке Cache-Control ответа от этой конечной точки, чтобы узнать, когда следует обновить открытые ключи.
Если все вышеуказанные проверки пройдут успешно, вы можете использовать субъект ( sub ) идентификационного токена в качестве uid соответствующего пользователя или устройства.