Le richieste inviate a FCM dal server delle app o dall'ambiente attendibile devono essere autorizzate.
Autorizzare le richieste di invio HTTP v1
A seconda dei dettagli dell'ambiente server, utilizza una combinazione di queste strategie per autorizzare le richieste del server ai servizi Firebase:
- Credenziali predefinite dell'applicazione Google (ADC)
- Un file JSON del service account
- Un token di accesso OAuth 2.0 di breve durata derivato da un service account
Se la tua applicazione viene eseguita su Compute Engine, Google Kubernetes Engine, App Engine o Cloud Functions (incluso Cloud Functions for Firebase), utilizza le credenziali predefinite dell'applicazione (ADC). ADC utilizza il service account predefinito esistente per ottenere le credenziali per autorizzare le richieste e consente test locali flessibili tramite la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS. Per l'automazione più completa del flusso di autorizzazione, utilizza ADC insieme alle librerie server dell'SDK Admin.
Se la tua applicazione viene eseguita in un ambiente server non Google, devi scaricare un file JSON dell'account di servizio dal tuo progetto Firebase. Se hai accesso a un file system contenente il file della chiave privata, puoi utilizzare la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS per autorizzare le richieste con queste credenziali ottenute manualmente. Se non disponi di questo accesso ai file, devi fare riferimento al file dell'account di servizio nel codice, operazione da eseguire con estrema attenzione a causa del rischio di esporre le tue credenziali.
Fornire le credenziali utilizzando ADC
Le Credenziali predefinite dell'applicazione Google (ADC) cercano le tue credenziali nel seguente ordine:
ADC controlla se la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS è impostata. Se la variabile è impostata, ADC utilizza il file del service account a cui punta la variabile.
Se la variabile di ambiente non è impostata, ADC utilizza l'account di servizio predefinito che Compute Engine, Google Kubernetes Engine, App Engine e Cloud Functions forniscono per le applicazioni eseguite su questi servizi.
Se ADC non può utilizzare nessuna delle credenziali sopra indicate, il sistema genera un errore.
Il seguente esempio di codice dell'SDK Admin illustra questa strategia. L'esempio non specifica esplicitamente le credenziali dell'applicazione. Tuttavia, ADC è in grado di trovare implicitamente le credenziali purché la variabile di ambiente sia impostata o purché l'applicazione sia in esecuzione su Compute Engine, Google Kubernetes Engine, App Engine o Cloud Functions.
Node.js
admin.initializeApp({
credential: admin.credential.applicationDefault(),
});
Java
FirebaseOptions options = FirebaseOptions.builder()
.setCredentials(GoogleCredentials.getApplicationDefault())
.setDatabaseUrl("https://<DATABASE_NAME>.firebaseio.com/")
.build();
FirebaseApp.initializeApp(options);
Python
default_app = firebase_admin.initialize_app()
Vai
app, err := firebase.NewApp(context.Background(), nil)
if err != nil {
log.Fatalf("error initializing app: %v\n", err)
}
C#
FirebaseApp.Create(new AppOptions()
{
Credential = GoogleCredential.GetApplicationDefault(),
});
Fornire le credenziali manualmente
I progetti Firebase supportano gli account di servizio Google, che puoi utilizzare per chiamare le API server Firebase dal server delle app o dall'ambiente attendibile. Se stai sviluppando codice localmente o eseguendo il deployment della tua applicazione on-premise, puoi utilizzare le credenziali ottenute tramite questo service account per autorizzare le richieste del server.
Per autenticare un service account e autorizzarlo ad accedere ai servizi Firebase, devi generare un file della chiave privata in formato JSON.
Per generare un file della chiave privata per il tuo service account:
Nella console Firebase, apri Impostazioni > Service account.
Fai clic su Genera nuova chiave privata, poi conferma facendo clic su Genera chiave.
Archivia in modo sicuro il file JSON contenente la chiave.
Quando autorizzi tramite un service account, hai due opzioni per fornire le credenziali alla tua applicazione. Puoi impostare la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS o passare esplicitamente il percorso della chiave del service account nel codice. La prima opzione è più sicura ed è vivamente consigliata.
Per impostare la variabile di ambiente:
Imposta la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS sul percorso del file JSON contenente la chiave dell'account di servizio. Questa variabile si applica solo alla sessione di shell corrente, quindi se apri una nuova sessione, imposta di nuovo la variabile.
Linux o macOS
export GOOGLE_APPLICATION_CREDENTIALS="/home/user/Downloads/service-account-file.json"
Windows
Con PowerShell:
$env:GOOGLE_APPLICATION_CREDENTIALS="C:\Users\username\Downloads\service-account-file.json"
Dopo aver completato i passaggi precedenti, le credenziali predefinite dell'applicazione (ADC) sono in grado di determinare implicitamente le tue credenziali, consentendoti di utilizzare le credenziali del service account durante i test o l'esecuzione in ambienti non Google.
Utilizzare le credenziali per generare token di accesso
A meno che tu non stia utilizzando l'Admin SDK, che gestisce automaticamente l'autorizzazione, dovrai generare il token di accesso e aggiungerlo per inviare le richieste.
Utilizza le tue credenziali Firebase insieme alla libreria di autenticazione Google per la lingua che preferisci per recuperare un token di accesso OAuth 2.0 di breve durata:
Node.js
function getAccessToken() {
return new Promise(function(resolve, reject) {
const key = require('../placeholders/service-account.json');
const jwtClient = new google.auth.JWT(
key.client_email,
null,
key.private_key,
SCOPES,
null
);
jwtClient.authorize(function(err, tokens) {
if (err) {
reject(err);
return;
}
resolve(tokens.access_token);
});
});
}
In questo esempio, la libreria client delle API di Google autentica la richiesta con un token web JSON o JWT. Per saperne di più, consulta la pagina Token web JSON.
Python
def _get_access_token():
"""Retrieve a valid access token that can be used to authorize requests.
:return: Access token.
"""
credentials = service_account.Credentials.from_service_account_file(
'service-account.json', scopes=SCOPES)
request = google.auth.transport.requests.Request()
credentials.refresh(request)
return credentials.token
Java
private static String getAccessToken() throws IOException {
GoogleCredentials googleCredentials = GoogleCredentials
.fromStream(new FileInputStream("service-account.json"))
.createScoped(Arrays.asList(SCOPES));
googleCredentials.refresh();
return googleCredentials.getAccessToken().getTokenValue();
}
Una volta scaduto il token di accesso, il metodo di aggiornamento del token viene chiamato automaticamente per recuperare un token di accesso aggiornato.
Per autorizzare l'accesso a FCM, richiedi l'ambito
https://www.googleapis.com/auth/firebase.messaging.
Per aggiungere il token di accesso a un'intestazione della richiesta HTTP:
Aggiungi il token come valore dell'intestazione Authorization nel formato
Authorization: Bearer <access_token>:
Node.js
headers: {
'Authorization': 'Bearer ' + accessToken
}
Python
headers = {
'Authorization': 'Bearer ' + _get_access_token(),
'Content-Type': 'application/json; UTF-8',
}
Java
URL url = new URL(BASE_URL + FCM_SEND_ENDPOINT);
HttpURLConnection httpURLConnection = (HttpURLConnection) url.openConnection();
httpURLConnection.setRequestProperty("Authorization", "Bearer " + getServiceAccountAccessToken());
httpURLConnection.setRequestProperty("Content-Type", "application/json; UTF-8");
return httpURLConnection;