هنگام ساخت هر برنامه عمومی، محافظت از داده های ذخیره شده در سیستم شما بسیار مهم است. وقتی نوبت به LLM ها می رسد، دقت بیشتری لازم است تا اطمینان حاصل شود که مدل فقط به داده هایی که باید دسترسی داشته باشد، فراخوانی ابزار به درستی برای کاربر که LLM را فراخوانی می کند، فراخوانی می شود، و جریان فقط توسط برنامه های کاربردی کلاینت تایید شده فراخوانی می شود.
Firebase Genkit مکانیسم هایی را برای مدیریت سیاست ها و زمینه های مجوز ارائه می دهد. جریانهایی که در Firebase اجرا میشوند میتوانند از پاسخ تماس خط مشی تأیید اعتبار (یا کمکی) استفاده کنند. از طرف دیگر، Firebase همچنین زمینه اعتبار را در جریان فراهم می کند که در آن می تواند بررسی های خود را انجام دهد. برای جریان های غیر توابع، auth را می توان از طریق میان افزار مدیریت و تنظیم کرد.
مجوز در یک جریان
جریانها میتوانند مجوز را از دو طریق بررسی کنند: یا الزامآوری درخواست (مثلاً onCallGenkit
برای توابع ابری برای Firebase یا express
) میتواند مجوز را اعمال کند، یا آن چارچوبها میتوانند خطمشیهای تأیید اعتبار را به خود جریان منتقل کنند، جایی که جریان به اطلاعات مربوط به احراز هویت مدیریت شده در جریان دسترسی دارد.
import { genkit, z, UserFacingError } from 'genkit';
const ai = genkit({ ... });
export const selfSummaryFlow = ai.defineFlow( {
name: 'selfSummaryFlow',
inputSchema: z.object({ uid: z.string() }),
outputSchema: z.string(),
}, async (input, { context }) => {
if (!context.auth) {
throw new UserFacingErrorError('UNAUTHENTICATED', 'Unauthenticated');
}
if (input.uid !== context.auth.uid) {
throw new UserFacingError('PERMISSION_DENIED', 'You may only summarize your own profile data.');
}
// Flow logic here...
});
در این مورد به درخواست الزام آور برای پر کردن context.auth
بستگی دارد. به عنوان مثال، onCallGenkit
به طور خودکار context.auth
(Authentication Firebase)، context.app
(بررسی برنامه Firebase) و context.instanceIdToken
(Firebase Cloud Messaging) را پر می کند. هنگام فراخوانی یک جریان به صورت دستی، می توانید زمینه تأیید اعتبار خود را به صورت دستی اضافه کنید.
// Error: Authorization required.
await selfSummaryFlow({ uid: 'abc-def' });
// Error: You may only summarize your own profile data.
await selfSummaryFlow.run(
{ uid: 'abc-def' },
{
context: { auth: { uid: 'hij-klm' } },
}
);
// Success
await selfSummaryFlow(
{ uid: 'abc-def' },
{
context: { auth: { uid: 'abc-def' } },
}
);
هنگام اجرا با Genkit Development UI، می توانید با وارد کردن JSON در برگه "Auth JSON"، شی Auth را ارسال کنید: {"uid": "abc-def"}
.
همچنین می توانید با فراخوانی ai.currentContext()
auth context برای جریان را در هر زمانی در جریان بازیابی کنید، از جمله در توابع فراخوانی شده توسط جریان:
import { genkit, z } from 'genkit';
const ai = genkit({ ... });;
async function readDatabase(uid: string) {
const auth = ai.currentContext()?.auth;
// Note: the shape of context.auth depends on the provider. onCallGenkit puts
// claims information in auth.token
if (auth?.token?.admin) {
// Do something special if the user is an admin
} else {
// Otherwise, use the `uid` variable to retrieve the relevant document
}
}
export const selfSummaryFlow = ai.defineFlow(
{
name: 'selfSummaryFlow',
inputSchema: z.object({ uid: z.string() }),
outputSchema: z.string(),
authPolicy: ...
},
async (input) => {
await readDatabase(input.uid);
}
);
هنگام آزمایش جریان ها با ابزارهای توسعه دهنده Genkit، می توانید این شی auth را در UI یا در خط فرمان با پرچم --context
مشخص کنید:
genkit flow:run selfSummaryFlow '{"uid": "abc-def"}' --context '{"auth": {"email_verified": true}}'
مجوز استفاده از توابع ابری برای Firebase
توابع Cloud برای Firebase SDK از Genkit از جمله ادغام با Firebase Auth / Google Cloud Identity Platform، و همچنین پشتیبانی داخلی Firebase App Check پشتیبانی میکند.
احراز هویت کاربر
پوشش onCallGenkit()
ارائه شده توسط کتابخانه Firebase Functions دارای پشتیبانی داخلی از توابع Cloud برای SDK های مشتری Firebase است. وقتی از این SDK ها استفاده می کنید، تا زمانی که کلاینت برنامه شما از Firebase Auth SDK نیز استفاده می کند، سرصفحه Firebase Auth به طور خودکار گنجانده می شود. می توانید از Firebase Auth برای محافظت از جریان های تعریف شده با onCallGenkit()
استفاده کنید:
import { genkit } from 'genkit';
import { onCallGenkit } from 'firebase-functions/https';
const ai = genkit({ ... });;
const selfSummaryFlow = ai.defineFlow({
name: 'selfSummaryFlow',
inputSchema: z.string(),
outputSchema: z.string(),
}, async (input) => {
// Flow logic here...
});
export const selfSummary = onCallGenkit({
authPolicy: (auth) => auth?.token?.['email_verified'] && auth?.token?.['admin'],
}, selfSummaryFlow);
هنگامی که از onCallGenkit
استفاده می کنید، context.auth
به عنوان یک شی با یک uid
برای شناسه کاربر، و یک token
که یک DecodedIdToken است، برگردانده می شود. همانطور که قبلا ذکر شد، همیشه می توانید این شی را در هر زمان با استفاده از ai.currentContext()
بازیابی کنید. هنگام اجرای این جریان در حین توسعه، شی کاربر را به همین ترتیب ارسال می کنید:
genkit flow:run selfSummaryFlow '{"uid": "abc-def"}' --context '{"auth": {"admin": true}}'
هر زمان که یک Cloud Function را در معرض اینترنت گسترده تر قرار می دهید، بسیار مهم است که از نوعی مکانیسم مجوز برای محافظت از داده های خود و داده های مشتریان خود استفاده کنید. با این اوصاف، مواقعی وجود دارد که نیاز دارید یک Cloud Function را بدون بررسی مجوز مبتنی بر کد اجرا کنید (به عنوان مثال، عملکرد شما قابل فراخوانی جهانی نیست اما در عوض توسط Cloud IAM محافظت می شود). Cloud Functions for Firebase به شما امکان می دهد این کار را با استفاده از ویژگی invoker
انجام دهید که دسترسی IAM را کنترل می کند. مقدار ویژه 'private'
تابع را به عنوان تنظیمات پیش فرض IAM می گذارد، به این معنی که فقط تماس گیرندگان با نقش Cloud Run Invoker می توانند این تابع را اجرا کنند. درعوض میتوانید آدرس ایمیل یک حساب کاربری یا سرویسی را که باید مجوز فراخوانی دقیق این عملکرد را داشته باشد، ارائه دهید.
import { onCallGenkit } from 'firebase-functions/https'
const selfSummaryFlow = ai.defineFlow({
name: 'selfSummaryFlow',
inputSchema: z.string(),
outputSchema: z.string(),
}, async (input) => {
// Flow logic here...
});
export const selfSummary = onCallGenkit({
invoker: 'private',
}, selfSummaryFlow);
یکپارچگی مشتری
احراز هویت به تنهایی به محافظت از برنامه شما کمک زیادی می کند. اما این نیز مهم است که اطمینان حاصل کنید که فقط برنامه های مشتری شما با توابع شما تماس می گیرند. افزونه Firebase برای genkit شامل پشتیبانی درجه یک از Firebase App Check است. این کار را با افزودن گزینه های پیکربندی زیر به onCallGenkit()
خود انجام دهید:
import { onCallGenkit } from 'firebase-functions/https';
const selfSummaryFlow = ai.defineFlow({
name: 'selfSummaryFlow',
inputSchema: z.string(),
outputSchema: z.string(),
}, async (input) => {
// Flow logic here...
});
export const selfSummary = onCallGenkit({
// These two fields for app check. The consumeAppCheckToken option is for
// replay protection, and requires additional client configuration. See the
// App Check docs.
enforceAppCheck: true,
consumeAppCheckToken: true,
authPolicy: ...,
}, selfSummaryFlow);
مجوز HTTP غیر Firebase
هنگام استقرار جریان ها در زمینه سرور خارج از Cloud Functions برای Firebase، باید راهی برای تنظیم بررسی های مجوز خود در کنار جریان های داخلی داشته باشید.
از یک ContextProvider
برای پر کردن مقادیر متنی مانند auth
و برای ارائه یک خطمشی اعلامی یا یک فراخوان خط مشی استفاده کنید. Genkit SDK ContextProvider
هایی مانند apiKey
را ارائه می دهد و افزونه ها نیز ممکن است آنها را در معرض دید قرار دهند. به عنوان مثال، پلاگین @genkit-ai/firebase/context
یک ارائهدهنده زمینه را برای تأیید اعتبار Firebase Auth و پر کردن آنها در متن نشان میدهد.
با کدی مانند زیر که ممکن است در برنامه های مختلف ظاهر شود:
// Express app with a simple API key
import { genkit, z } from 'genkit';
const ai = genkit({ ... });;
export const selfSummaryFlow = ai.defineFlow(
{
name: 'selfSummaryFlow',
inputSchema: z.object({ uid: z.string() }),
outputSchema: z.string(),
},
async (input) => {
// Flow logic here...
}
);
شما میتوانید یک برنامه اکسپرس ساده «سرور جریان» را با نوشتن:
import { apiKey } from "genkit";
import { startFlowServer, withContext } from "@genkit-ai/express";
startFlowServer({
flows: [
withContext(selfSummaryFlow, apiKey(process.env.REQUIRED_API_KEY))
],
});
یا می توانید یک برنامه اکسپرس سفارشی با استفاده از ابزارهای مشابه بسازید:
import { apiKey } from "genkit";
import * as express from "express";
import { expressHandler } from "@genkit-ai/express;
const app = express();
// Capture but don't validate the API key (or its absence)
app.post('/summary', expressHandler(selfSummaryFlow, { contextProvider: apiKey()}))
app.listen(process.env.PORT, () => {
console.log(`Listening on port ${process.env.PORT}`);
})
ContextProvider
چارچوب وب را انتزاعی می کند، بنابراین این ابزارها در چارچوب های دیگری مانند Next.js نیز کار می کنند. در اینجا نمونه ای از یک برنامه Firebase ساخته شده بر روی Next.js است.
import { appRoute } from "@genkit-ai/express";
import { firebaseContext } from "@genkit-ai/firebase";
export const POST = appRoute(selfSummaryFlow, { contextProvider: firebaseContext })
برای اطلاعات بیشتر در مورد استفاده از Express، دستورالعملهای Cloud Run را ببینید.