Аутентификация запросов REST

SDK Firebase обрабатывают всю аутентификацию и взаимодействие с Firebase Realtime Database от вашего имени. Однако, если вы работаете в среде, где нет клиентского SDK, или хотите избежать накладных расходов, связанных с постоянным подключением к базе данных, вы можете использовать REST API базы данных Realtime Database для чтения и записи данных.

Аутентификацию пользователей можно выполнить одним из следующих способов:

1. Токены доступа Google OAuth2 — Как правило, возможность чтения и записи в Realtime Database регулируется правилами Realtime Database . Однако вы можете получить доступ к своим данным с сервера и предоставить этому серверу полный доступ на чтение и запись ваших данных с помощью токена доступа Google OAuth2, сгенерированного из учетной записи службы.

2. Токены Firebase ID — Возможно, вам также потребуется отправлять запросы, аутентифицированные как отдельный пользователь, например, для ограничения доступа с помощью правил Realtime Database Rules в клиентских SDK. REST API принимает те же токены Firebase ID, которые используются в клиентских SDK.

Google OAuth2 access tokens

Любые данные, доступные для чтения или записи в соответствии с правилами вашей Realtime Database , также доступны для чтения и записи через REST API без какой-либо аутентификации. Однако, если вы хотите, чтобы ваш сервер обходил правила вашей Realtime Database , вам необходимо аутентифицировать запросы на чтение и запись. Аутентификация через Google OAuth2 требует выполнения следующих шагов:

1. Generate an access token.
2. Authenticate with that access token.

Generate an access token

REST API Realtime Database принимает стандартные токены доступа Google OAuth2 . Токены доступа можно сгенерировать, используя учетную запись службы с соответствующими правами доступа к вашей Realtime Database . Нажав кнопку «Сгенерировать новый закрытый ключ» в нижней части раздела « Учетные записи служб» консоли Firebase , вы можете легко сгенерировать новый файл ключа учетной записи службы, если у вас его еще нет.

Получив файл ключа учетной записи службы, вы можете использовать одну из клиентских библиотек Google API для генерации токена доступа Google OAuth2 со следующими необходимыми областями действия:

• https://www.googleapis.com/auth/userinfo.email
• https://www.googleapis.com/auth/firebase.database

Ниже приведены примеры реализаций, демонстрирующие создание токенов доступа Google OAuth2 для аутентификации в REST API Realtime Database на различных языках программирования:

var {google} = require("googleapis");

// Load the service account key JSON file.
var serviceAccount = require("path/to/serviceAccountKey.json");

// Define the required scopes.
var scopes = [
  "https://www.googleapis.com/auth/userinfo.email",
  "https://www.googleapis.com/auth/firebase.database"
];

// Authenticate a JWT client with the service account.
var jwtClient = new google.auth.JWT(
  serviceAccount.client_email,
  null,
  serviceAccount.private_key,
  scopes
);

// Use the JWT client to generate an access token.
jwtClient.authorize(function(error, tokens) {
  if (error) {
    console.log("Error making request to generate access token:", error);
  } else if (tokens.access_token === null) {
    console.log("Provided service account does not have permission to generate access tokens");
  } else {
    var accessToken = tokens.access_token;

    // See the "Using the access token" section below for information
    // on how to use the access token to send authenticated requests to
    // the Realtime Database REST API.
  }
});

// Load the service account key JSON file
FileInputStream serviceAccount = new FileInputStream("path/to/serviceAccountKey.json");

// Authenticate a Google credential with the service account
GoogleCredential googleCred = GoogleCredential.fromStream(serviceAccount);

// Add the required scopes to the Google credential
GoogleCredential scoped = googleCred.createScoped(
    Arrays.asList(
      "https://www.googleapis.com/auth/firebase.database",
      "https://www.googleapis.com/auth/userinfo.email"
    )
);

// Use the Google credential to generate an access token
scoped.refreshToken();
String token = scoped.getAccessToken();

// See the "Using the access token" section below for information
// on how to use the access token to send authenticated requests to the
// Realtime Database REST API.

from google.oauth2 import service_account
from google.auth.transport.requests import AuthorizedSession

# Define the required scopes
scopes = [
  "https://www.googleapis.com/auth/userinfo.email",
  "https://www.googleapis.com/auth/firebase.database"
]

# Authenticate a credential with the service account
credentials = service_account.Credentials.from_service_account_file(
    "path/to/serviceAccountKey.json", scopes=scopes)

# Use the credentials object to authenticate a Requests session.
authed_session = AuthorizedSession(credentials)
response = authed_session.get(
    "https://<DATABASE_NAME>.firebaseio.com/users/ada/name.json")

# Or, use the token directly, as described in the "Authenticate with an
# access token" section below. (not recommended)
request = google.auth.transport.requests.Request()
credentials.refresh(request)
access_token = credentials.token

Authenticate with an access token

Для отправки аутентифицированных запросов к REST API Realtime Database передайте сгенерированный выше токен доступа Google OAuth2 в качестве заголовка Authorization: Bearer <ACCESS_TOKEN> или параметра строки запроса access_token=<ACCESS_TOKEN> . Вот пример запроса curl для чтения имени Ады:

curl "https://<DATABASE_NAME>.firebaseio.com/users/ada/name.json?access_token=<ACCESS_TOKEN>"

Обязательно замените <DATABASE_NAME> на имя вашей Realtime Database , а <ACCESS_TOKEN> — на токен доступа Google OAuth2.

Успешный запрос будет обозначен HTTP-статусом 200 OK . Ответ будет содержать запрашиваемые данные:

{"first":"Ada","last":"Lovelace"}

Firebase ID tokens

Когда пользователь или устройство входит в систему с помощью Firebase Authentication , Firebase создает соответствующий идентификационный токен, который однозначно идентифицирует пользователя и предоставляет ему доступ к различным ресурсам, таким как Realtime Database и Cloud Storage . Вы можете повторно использовать этот идентификационный токен для аутентификации REST API Realtime Database и выполнения запросов от имени этого пользователя.

Generate an ID token

Чтобы получить токен Firebase ID на клиенте, выполните действия, описанные в разделе «Получение токенов ID на клиентах» .

Обратите внимание, что идентификационные токены истекают через короткий промежуток времени, и их следует использовать как можно быстрее после получения.

Authenticate with an ID token

Для отправки аутентифицированных запросов к REST API Realtime Database передайте сгенерированный выше ID-токен в качестве параметра строки запроса auth=<ID_TOKEN> . Вот пример запроса curl для чтения имени Ады:

curl "https://<DATABASE_NAME>.firebaseio.com/users/ada/name.json?auth=<ID_TOKEN>"

Обязательно замените <DATABASE_NAME> на имя вашей Realtime Database , а <ID_TOKEN> — на токен идентификатора Firebase.

Успешный запрос будет обозначен HTTP-статусом 200 OK . Ответ будет содержать запрашиваемые данные:

{"first":"Ada","last":"Lovelace"}

Legacy tokens

Если вы все еще используете устаревшие токены аутентификации Firebase, мы рекомендуем обновить вашу REST-аутентификацию, выбрав один из описанных выше методов аутентификации.

REST API Realtime Database по-прежнему поддерживает аутентификацию с помощью устаревших токенов аутентификации, включая секреты . Ваши секреты Realtime Database можно найти в разделе « Учетные записи служб» консоли Firebase .

Секреты — это учетные данные с длительным сроком действия. Мы рекомендуем генерировать новый секрет и отзывать существующий при удалении пользователей с доступом к секретам (например, владельцев) из проекта.