Mở rộng tính năng Xác thực Firebase bằng các hàm chặn

Hàm chặn cho phép bạn thực thi mã tuỳ chỉnh sửa đổi kết quả của một người dùng đăng ký hoặc đăng nhập vào ứng dụng của bạn. Ví dụ: bạn có thể ngăn người dùng xác thực nếu họ không đáp ứng các tiêu chí nhất định hoặc cập nhật trước khi trả về ứng dụng khách của bạn.

Trước khi bắt đầu

Để sử dụng các chức năng chặn, bạn phải nâng cấp dự án Firebase của mình lên tính năng Xác thực Firebase bằng Nền tảng nhận dạng. Nếu bạn chưa nâng cấp, hãy nâng cấp trước.

Tìm hiểu về hàm chặn

Bạn có thể đăng ký các hàm chặn cho 2 sự kiện:

• beforeCreate: Các lệnh kích hoạt trước khi một người dùng mới được lưu vào cơ sở dữ liệu Xác thực Firebase và trước khi một mã thông báo được trả về cho ứng dụng khách.

• beforeSignIn: Kích hoạt sau khi thông tin xác thực của người dùng được xác minh, nhưng trước khi tính năng Xác thực Firebase trả về mã thông báo nhận dạng cho ứng dụng khách của bạn. Nếu Nếu ứng dụng của bạn sử dụng xác thực đa yếu tố, kích hoạt sau khi người dùng xác minh yếu tố thứ hai. Xin lưu ý rằng việc tạo một người dùng cũng kích hoạt beforeSignIn, ngoài beforeCreate.

Hãy lưu ý những điều sau khi sử dụng hàm chặn:

• Hàm của bạn phải phản hồi trong vòng 7 giây. Sau 7 giây, Tính năng Xác thực Firebase trả về lỗi và thao tác ứng dụng không thành công.

• Các mã phản hồi HTTP không phải 200 sẽ được chuyển đến ứng dụng khách của bạn. Đảm bảo mã ứng dụng khách của bạn xử lý mọi lỗi mà hàm của bạn có thể trả về.

• Các hàm áp dụng cho tất cả người dùng trong dự án của bạn, bao gồm mọi người dùng trong một đối tượng thuê. Tính năng Xác thực Firebase cung cấp thông tin về người dùng cho chức năng của bạn, bao gồm bất kỳ người thuê nào của họ để bạn có thể phản hồi phù hợp.

• Việc liên kết một nhà cung cấp danh tính khác với một tài khoản sẽ kích hoạt lại mọi tài khoản đã đăng ký Hàm beforeSignIn.

• Phương thức xác thực ẩn danh và tuỳ chỉnh không kích hoạt các chức năng chặn.

Triển khai hàm chặn

Để chèn mã tuỳ chỉnh của bạn vào quy trình xác thực người dùng, hãy triển khai tính năng chặn . Sau khi triển khai các chức năng chặn, mã tuỳ chỉnh của bạn phải hoàn tất thành công để xác thực và tạo người dùng thành công.

Bạn triển khai hàm chặn giống như cách triển khai bất kỳ hàm nào. (xem trang Bắt đầu của Cloud Functions để biết chi tiết). Tóm lại:

1. Viết Cloud Functions xử lý sự kiện beforeCreate, beforeSignIn sự kiện hoặc cả hai.

   Ví dụ: để bắt đầu, bạn có thể thêm các hàm không hoạt động sau đây vào index.js:

   const functions = require('firebase-functions');
   
   exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
     // TODO
   });
   
   exports.beforeSignIn = functions.auth.user().beforeSignIn((user, context) => {
     // TODO
   });
   

   Các ví dụ ở trên đã bỏ qua bước triển khai logic xác thực tuỳ chỉnh. Xem các phần sau để tìm hiểu cách triển khai các hàm chặn và Các trường hợp thường gặp để xem các ví dụ cụ thể.

2. Triển khai các hàm bằng Giao diện dòng lệnh (CLI) của Firebase:

   firebase deploy --only functions
   

   Bạn phải triển khai lại các chức năng của mình mỗi khi cập nhật chúng.

Nhận thông tin về người dùng và bối cảnh

Các sự kiện beforeSignIn và beforeCreate cung cấp User và EventContext các đối tượng chứa thông tin về việc người dùng đăng nhập. Sử dụng các giá trị này trong mã để xác định xem có cho phép một thao tác tiếp tục hay không.

Để biết danh sách các thuộc tính có sẵn trên đối tượng User, hãy xem Tài liệu tham khảo API UserRecord.

Đối tượng EventContext chứa các thuộc tính sau:

Chặn đăng ký hoặc đăng nhập

Để chặn một hoạt động đăng ký hoặc đăng nhập, hãy gửi HttpsError vào . Ví dụ:

throw new functions.auth.HttpsError('permission-denied');

Bảng sau đây liệt kê các lỗi bạn có thể nêu ra, cùng với các lỗi mặc định thông báo lỗi:

Bạn cũng có thể chỉ định thông báo lỗi tuỳ chỉnh:

throw new functions.auth.HttpsError('permission-denied', 'Unauthorized request origin!');

Ví dụ sau đây minh hoạ cách chặn người dùng không thuộc một đăng ký cho ứng dụng của bạn:

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  // (If the user is authenticating within a tenant context, the tenant ID can be determined from
  // user.tenantId or from context.resource, e.g. 'projects/project-id/tenant/tenant-id-1')

  // Only users of a specific domain can sign up.
  if (user.email.indexOf('@acme.com') === -1) {
    throw new functions.auth.HttpsError('invalid-argument', `Unauthorized email "${user.email}"`);
  }
});

Bất kể bạn sử dụng thông báo mặc định hay tuỳ chỉnh, Cloud Functions bao bọc lỗi và trả về ứng dụng khách dưới dạng một lỗi nội bộ. Ví dụ:

throw new functions.auth.HttpsError('invalid-argument', `Unauthorized email user@evil.com}`);

Ứng dụng của bạn sẽ phát hiện lỗi và xử lý lỗi đó phù hợp. Ví dụ:

// Blocking functions can also be triggered in a multi-tenant context before user creation.
// firebase.auth().tenantId = 'tenant-id-1';
firebase.auth().createUserWithEmailAndPassword('johndoe@example.com', 'password')
  .then((result) => {
    result.user.getIdTokenResult()
  })
  .then((idTokenResult) => {
    console.log(idTokenResult.claim.admin);
  })
  .catch((error) => {
    if (error.code !== 'auth/internal-error' && error.message.indexOf('Cloud Function') !== -1) {
      // Display error.
    } else {
      // Registration succeeds.
    }
  });

Sửa đổi người dùng

Thay vì chặn một hành động đăng ký hoặc đăng nhập, bạn có thể cho phép để tiếp tục, nhưng sửa đổi đối tượng User được lưu vào cơ sở dữ liệu của Xác thực Firebase và được trả về máy khách.

Để sửa đổi người dùng, hãy trả về một đối tượng từ trình xử lý sự kiện chứa các trường cần sửa đổi. Bạn có thể sửa đổi các trường sau:

• displayName
• disabled
• emailVerified
• photoUrl
• customClaims
• sessionClaims (chỉ beforeSignIn)

Ngoại trừ sessionClaims, tất cả các trường đã sửa đổi đều được lưu vào Cơ sở dữ liệu của Xác thực Firebase, nghĩa là chúng được đưa vào phản hồi mã thông báo và duy trì giữa các phiên của người dùng.

Ví dụ sau đây trình bày cách đặt tên hiển thị mặc định:

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  return {
    // If no display name is provided, set it to "Guest".
    displayName: user.displayName || 'Guest';
  };
});

Nếu bạn đăng ký một trình xử lý sự kiện cho cả beforeCreate và beforeSignIn, lưu ý rằng beforeSignIn thực thi sau beforeCreate. Đã cập nhật các trường người dùng trong beforeCreate xuất hiện trong beforeSignIn. Nếu bạn đặt một trường không phải là sessionClaims trong cả hai trình xử lý sự kiện, giá trị được đặt trong beforeSignIn sẽ ghi đè giá trị đã đặt trong beforeCreate. Chỉ dành cho sessionClaims, được truyền đến các thông báo xác nhận quyền sở hữu mã thông báo của phiên hiện tại, nhưng không được duy trì hoặc được lưu trữ trong cơ sở dữ liệu.

Ví dụ: nếu bạn đặt bất kỳ sessionClaims nào, thì beforeSignIn sẽ trả về các kết quả đó với bất kỳ xác nhận quyền sở hữu beforeCreate nào và chúng sẽ được hợp nhất. Khi chúng được hợp nhất, nếu khoá sessionClaims khớp với một khoá trong customClaims, kiểu khớp customClaims sẽ bị ghi đè trong việc xác nhận mã thông báo bởi sessionClaims . Tuy nhiên, khoá customClaims bị xâm phạm vẫn sẽ được duy trì trong cho các yêu cầu trong tương lai.

Dữ liệu và thông tin đăng nhập OAuth được hỗ trợ

Bạn có thể truyền thông tin đăng nhập OAuth và dữ liệu đến các hàm chặn từ nhiều nhà cung cấp danh tính. Bảng sau đây trình bày thông tin xác thực và dữ liệu được hỗ trợ cho từng nhà cung cấp danh tính:

Làm mới mã

Để sử dụng mã làm mới trong hàm chặn, trước tiên, bạn phải chọn hộp đánh dấu trên trang Hàm chặn của bảng điều khiển của Firebase.

Không nhà cung cấp danh tính nào trả về mã làm mới khi đăng nhập trực tiếp bằng thông tin xác thực OAuth, chẳng hạn như mã thông báo nhận dạng hoặc mã truy cập. Trong phần này trong trường hợp đó, thông tin đăng nhập OAuth phía máy khách tương tự sẽ được chuyển đến quy tắc chặn .

Các phần sau đây mô tả từng loại nhà cung cấp danh tính và các loại nhà cung cấp danh tính được hỗ trợ thông tin xác thực và dữ liệu.

Nhà cung cấp OIDC chung

Khi người dùng đăng nhập thông qua một nhà cung cấp OIDC chung, các thông tin đăng nhập sau sẽ được thông qua:

• Mã thông báo giá trị nhận dạng: Được cung cấp nếu quy trình id_token được chọn.
• Mã truy cập: Được cung cấp nếu quy trình mã được chọn. Lưu ý rằng mã flow hiện chỉ được hỗ trợ thông qua API REST.
• Làm mới mã thông báo: Được cung cấp nếu Phạm vi offline_access được chọn.

Ví dụ:

const provider = new firebase.auth.OAuthProvider('oidc.my-provider');
provider.addScope('offline_access');
firebase.auth().signInWithPopup(provider);

Google

Khi người dùng đăng nhập bằng Google, các thông tin đăng nhập sau sẽ được chuyển:

• Mã thông báo giá trị nhận dạng
• Mã truy cập
• Làm mới mã thông báo: Chỉ được cung cấp nếu các thông số tuỳ chỉnh sau đây đã yêu cầu:
  • access_type=offline
  • prompt=consent, nếu trước đây người dùng đã đồng ý và không phạm vi mới đã được yêu cầu

Ví dụ:

const provider = new firebase.auth.GoogleAuthProvider();
provider.setCustomParameters({
  'access_type': 'offline',
  'prompt': 'consent'
});
firebase.auth().signInWithPopup(provider);

Tìm hiểu thêm về mã làm mới của Google.

Facebook

Khi người dùng đăng nhập bằng Facebook, thông tin đăng nhập sau sẽ được chuyển:

• Mã truy cập: Mã truy cập được trả về và có thể đổi lấy một mã truy cập khác. Tìm hiểu thêm về các loại mã truy cập được Facebook hỗ trợ và cách bạn có thể đổi lấy mã thông báo dài hạn.

GitHub

Khi người dùng đăng nhập bằng GitHub, thông tin đăng nhập sau đây sẽ được chuyển:

• Mã truy cập: Không hết hạn trừ phi bị thu hồi.

Microsoft

Khi người dùng đăng nhập bằng Microsoft, thông tin đăng nhập sau đây sẽ được chuyển:

• Mã thông báo giá trị nhận dạng
• Mã truy cập
• Làm mới mã thông báo: Được truyền đến hàm chặn nếu Phạm vi offline_access được chọn.

Ví dụ:

const provider = new firebase.auth.OAuthProvider('microsoft.com');
provider.addScope('offline_access');
firebase.auth().signInWithPopup(provider);

Yahoo

Khi người dùng đăng nhập bằng Yahoo, thông tin đăng nhập sau sẽ được chuyển không có bất kỳ thông số hoặc phạm vi tuỳ chỉnh nào:

• Mã thông báo giá trị nhận dạng
• Mã truy cập
• Làm mới mã thông báo

LinkedIn

Khi người dùng đăng nhập bằng LinkedIn, thông tin đăng nhập sau đây sẽ được chuyển:

• Mã truy cập

Apple

Khi người dùng đăng nhập bằng Apple, thông tin đăng nhập sau đây sẽ được chuyển không có bất kỳ thông số hoặc phạm vi tuỳ chỉnh nào:

• Mã thông báo giá trị nhận dạng
• Mã truy cập
• Làm mới mã thông báo

Các trường hợp phổ biến

Các ví dụ sau đây minh hoạ một số trường hợp sử dụng hàm chặn phổ biến:

Chỉ cho phép đăng ký từ một miền cụ thể

Ví dụ sau đây cho biết cách ngăn người dùng không thuộc example.com miền đăng ký với ứng dụng của bạn:

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  if (!user.email || user.email.indexOf('@example.com') === -1) {
    throw new functions.auth.HttpsError(
      'invalid-argument', `Unauthorized email "${user.email}"`);
  }
});

Chặn người dùng có email chưa được xác minh đăng ký

Ví dụ sau đây cho biết cách ngăn người dùng có email chưa được xác minh từ khi đăng ký với ứng dụng của bạn:

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  if (user.email && !user.emailVerified) {
    throw new functions.auth.HttpsError(
      'invalid-argument', `Unverified email "${user.email}"`);
  }
});

Yêu cầu xác minh email khi đăng ký

Ví dụ sau đây trình bày cách yêu cầu người dùng xác minh email của họ sau đang đăng ký:

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  const locale = context.locale;
  if (user.email && !user.emailVerified) {
    // Send custom email verification on sign-up.
    return admin.auth().generateEmailVerificationLink(user.email).then((link) => {
      return sendCustomVerificationEmail(user.email, link, locale);
    });
  }
});

exports.beforeSignIn = functions.auth.user().beforeSignIn((user, context) => {
 if (user.email && !user.emailVerified) {
   throw new functions.auth.HttpsError(
     'invalid-argument', `"${user.email}" needs to be verified before access is granted.`);
  }
});

Xem một số email của nhà cung cấp danh tính là đã xác minh

Ví dụ sau đây cho thấy cách xử lý email của người dùng thuộc một số danh tính nhất định nhà cung cấp dịch vụ như đã xác minh:

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  if (user.email && !user.emailVerified && context.eventType.indexOf(':facebook.com') !== -1) {
    return {
      emailVerified: true,
    };
  }
});

Chặn đăng nhập từ một số địa chỉ IP nhất định

Ví dụ sau đây về cách chặn hoạt động đăng nhập từ một số dải địa chỉ IP nhất định:

exports.beforeSignIn = functions.auth.user().beforeSignIn((user, context) => {
  if (isSuspiciousIpAddress(context.ipAddress)) {
    throw new functions.auth.HttpsError(
      'permission-denied', 'Unauthorized access!');
  }
});

Đặt thông báo xác nhận quyền sở hữu phiên và tuỳ chỉnh

Ví dụ sau đây trình bày cách đặt thông báo xác nhận quyền sở hữu tuỳ chỉnh và theo phiên:

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  if (context.credential &&
      context.credential.providerId === 'saml.my-provider-id') {
    return {
      // Employee ID does not change so save in persistent claims (stored in
      // Auth DB).
      customClaims: {
        eid: context.credential.claims.employeeid,
      },
      // Copy role and groups to token claims. These will not be persisted.
      sessionClaims: {
        role: context.credential.claims.role,
        groups: context.credential.claims.groups,
      }
    }
  }
});

Theo dõi địa chỉ IP để giám sát hoạt động đáng ngờ

Bạn có thể ngăn chặn hành vi đánh cắp mã thông báo bằng cách theo dõi địa chỉ IP mà người dùng dùng để đăng nhập, và so sánh địa chỉ đó với địa chỉ IP trong các yêu cầu tiếp theo. Nếu yêu cầu có vẻ đáng ngờ — ví dụ: IP có nguồn gốc từ các khu vực địa lý khác nhau khu vực nhất định — bạn có thể yêu cầu người dùng đăng nhập lại.

1. Sử dụng xác nhận quyền sở hữu phiên để theo dõi địa chỉ IP mà người dùng đăng nhập:

   Node.js

   exports.beforeSignIn = functions.auth.user().beforeSignIn((user, context) => {
     return {
       sessionClaims: {
         signInIpAddress: context.ipAddress,
       },
     };
   });
   

2. Khi người dùng cố gắng truy cập vào các tài nguyên yêu cầu xác thực bằng Xác thực Firebase, so sánh địa chỉ IP trong yêu cầu với IP được sử dụng để đăng nhập:

   Node.js

   app.post('/getRestrictedData', (req, res) => {
     // Get the ID token passed.
     const idToken = req.body.idToken;
     // Verify the ID token, check if revoked and decode its payload.
     admin.auth().verifyIdToken(idToken, true).then((claims) => {
       // Get request IP address
       const requestIpAddress = req.connection.remoteAddress;
       // Get sign-in IP address.
       const signInIpAddress = claims.signInIpAddress;
       // Check if the request IP address origin is suspicious relative to
       // the session IP addresses. The current request timestamp and the
       // auth_time of the ID token can provide additional signals of abuse,
       // especially if the IP address suddenly changed. If there was a sudden
       // geographical change in a short period of time, then it will give
       // stronger signals of possible abuse.
       if (!isSuspiciousIpAddressChange(signInIpAddress, requestIpAddress)) {
         // Suspicious IP address change. Require re-authentication.
         // You can also revoke all user sessions by calling:
         // admin.auth().revokeRefreshTokens(claims.sub).
         res.status(401).send({error: 'Unauthorized access. Please login again!'});
       } else {
         // Access is valid. Try to return data.
         getData(claims).then(data => {
           res.end(JSON.stringify(data);
         }, error => {
           res.status(500).send({ error: 'Server error!' })
         });
       }
     });
   });
   

Đang sàng lọc ảnh của người dùng

Ví dụ sau đây minh hoạ cách dọn dẹp dữ liệu người dùng ảnh hồ sơ:

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  if (user.photoURL) {
    return isPhotoAppropriate(user.photoURL)
      .then((status) => {
        if (!status) {
          // Sanitize inappropriate photos by replacing them with guest photos.
          // Users could also be blocked from sign-up, disabled, etc.
          return {
            photoUrl: PLACEHOLDER_GUEST_PHOTO_URL,
          };
        }
      });
});

Để tìm hiểu thêm về cách phát hiện và làm sạch hình ảnh, hãy xem Tài liệu về Cloud Vision.

Truy cập vào thông tin xác thực OAuth của nhà cung cấp danh tính của người dùng

Ví dụ sau minh hoạ cách lấy mã làm mới cho người dùng đã đăng nhập bằng Google và sử dụng lịch này để gọi API Lịch Google. Chiến lược phát hành đĩa đơn mã làm mới sẽ được lưu trữ để truy cập khi không có mạng.

const {OAuth2Client} = require('google-auth-library');
const {google} = require('googleapis');
// ...
// Initialize Google OAuth client.
const keys = require('./oauth2.keys.json');
const oAuth2Client = new OAuth2Client(
  keys.web.client_id,
  keys.web.client_secret
);

exports.beforeCreate = functions.auth.user().beforeCreate((user, context) => {
  if (context.credential &&
      context.credential.providerId === 'google.com') {
    // Store the refresh token for later offline use.
    // These will only be returned if refresh tokens credentials are included
    // (enabled by Cloud console).
    return saveUserRefreshToken(
        user.uid,
        context.credential.refreshToken,
        'google.com'
      )
      .then(() => {
        // Blocking the function is not required. The function can resolve while
        // this operation continues to run in the background.
        return new Promise((resolve, reject) => {
          // For this operation to succeed, the appropriate OAuth scope should be requested
          // on sign in with Google, client-side. In this case:
          // https://www.googleapis.com/auth/calendar
          // You can check granted_scopes from within:
          // context.additionalUserInfo.profile.granted_scopes (space joined list of scopes).

          // Set access token/refresh token.
          oAuth2Client.setCredentials({
            access_token: context.credential.accessToken,
            refresh_token: context.credential.refreshToken,
          });
          const calendar = google.calendar('v3');
          // Setup Onboarding event on user's calendar.
          const event = {/** ... */};
          calendar.events.insert({
            auth: oauth2client,
            calendarId: 'primary',
            resource: event,
          }, (err, event) => {
            // Do not fail. This is a best effort approach.
            resolve();
          });
      });
    })
  }
});

Ghi đè kết quả của reCAPTCHA Enterprise cho hoạt động của người dùng

Ví dụ sau đây cho thấy cách ghi đè một kết quả reCAPTCHA Enterprise cho các luồng người dùng được hỗ trợ.

Hãy tham khảo bài viết Bật reCAPTCHA Enterprise để tìm hiểu thêm về cách tích hợp reCAPTCHA Enterprise với tính năng xác thực Firebase.

Bạn có thể dùng các hàm chặn để cho phép hoặc chặn luồng dựa trên các yếu tố tuỳ chỉnh, từ đó ghi đè kết quả do reCAPTCHA Enterprise cung cấp.

 const {
   auth,
 } = require("firebase-functions/v1");

exports.checkrecaptchaV1 = auth.user().beforeSignIn((userRecord, context) => {
 // Allow users with a specific email domain to sign in regardless of their recaptcha score.
 if (userRecord.email && userRecord.email.indexOf('@acme.com') === -1) {
   return {
     recaptchaActionOverride: 'ALLOW',
   };
 }

 // Allow users to sign in with recaptcha score greater than 0.5
 if (context.additionalUserInfo.recaptchaScore > 0.5) {
   return {
     recaptchaActionOverride: 'ALLOW',
   };
 }

 // Block all others.
 return {
   recaptchaActionOverride: 'BLOCK',
 };
});