Here's everything we announced at I/O, from new Firebase Studio features to more ways to integrate AI. Read blog.

Эта страница переведена с помощью Cloud Translation API.

Проверка токенов идентификатора
Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.

Если ваше клиентское приложение Firebase взаимодействует с пользовательским сервером бэкэнда, вам может потребоваться идентифицировать текущего вошедшего в систему пользователя на этом сервере. Чтобы сделать это безопасно, после успешного входа отправьте токен идентификатора пользователя на ваш сервер с помощью HTTPS. Затем на сервере проверьте целостность и подлинность токена идентификатора и извлеките из него uid . Вы можете использовать переданный таким образом uid для безопасной идентификации текущего вошедшего в систему пользователя на вашем сервере.

Прежде чем начать

Для проверки токенов ID с помощью Firebase Admin SDK у вас должна быть учетная запись службы. Следуйте инструкциям по настройке Admin SDK для получения дополнительной информации о том, как инициализировать Admin SDK с учетной записью службы.

Извлечение идентификационных токенов на клиентах

Когда пользователь или устройство успешно входит в систему, Firebase создает соответствующий токен ID, который уникально идентифицирует их и предоставляет им доступ к нескольким ресурсам, таким как Firebase Realtime Database и Cloud Storage . Вы можете повторно использовать этот токен ID для идентификации пользователя или устройства на вашем пользовательском сервере бэкэнда. Чтобы получить токен ID от клиента, убедитесь, что пользователь вошел в систему, а затем получите токен ID от вошедшего в систему пользователя:

iOS+

Objective-C

FIRUser *currentUser = [FIRAuth auth].currentUser;
[currentUser getIDTokenForcingRefresh:YES
                           completion:^(NSString *_Nullable idToken,
                                        NSError *_Nullable error) {
          if (error) {
            // Handle error
            return;
          }

          // Send token to your backend via HTTPS
          // ...
}];

Быстрый

let currentUser = FIRAuth.auth()?.currentUser
currentUser?.getIDTokenForcingRefresh(true) { idToken, error in
  if let error = error {
    // Handle error
    return;
  }

  // Send token to your backend via HTTPS
  // ...
}

андроид

FirebaseUser mUser = FirebaseAuth.getInstance().getCurrentUser();
mUser.getIdToken(true)
    .addOnCompleteListener(new OnCompleteListener<GetTokenResult>() {
        public void onComplete(@NonNull Task<GetTokenResult> task) {
            if (task.isSuccessful()) {
                String idToken = task.getResult().getToken();
                // Send token to your backend via HTTPS
                // ...
            } else {
                // Handle error -> task.getException();
            }
        }
    });

Единство

Firebase.Auth.FirebaseUser user = auth.CurrentUser;
user.TokenAsync(true).ContinueWith(task => {
  if (task.IsCanceled) {
    Debug.LogError("TokenAsync was canceled.");
   return;
  }

  if (task.IsFaulted) {
    Debug.LogError("TokenAsync encountered an error: " + task.Exception);
    return;
  }

  string idToken = task.Result;

  // Send token to your backend via HTTPS
  // ...
});

С++

firebase::auth::User user = auth->current_user();
if (user.is_valid()) {
  firebase::Future<std::string> idToken = user.GetToken(true);

  // Send token to your backend via HTTPS
  // ...
}

Веб

firebase.auth().currentUser.getIdToken(/* forceRefresh */ true).then(function(idToken) {
  // Send token to your backend via HTTPS
  // ...
}).catch(function(error) {
  // Handle error
});

Получив идентификационный токен, вы можете отправить этот JWT на свой бэкэнд и проверить его с помощью Firebase Admin SDK или с помощью сторонней библиотеки JWT, если ваш сервер написан на языке, который Firebase изначально не поддерживает.

Проверка токенов ID с помощью Firebase Admin SDK

Firebase Admin SDK имеет встроенный метод проверки и декодирования токенов ID. Если предоставленный токен ID имеет правильный формат, не просрочен и правильно подписан, метод возвращает декодированный токен ID. Вы можете извлечь uid пользователя или устройства из декодированного токена.

Следуйте инструкциям по настройке Admin SDK , чтобы инициализировать Admin SDK с учетной записью службы. Затем используйте метод verifyIdToken() для проверки токена ID:

Node.js

// idToken comes from the client app
getAuth()
  .verifyIdToken(idToken)
  .then((decodedToken) => {
    const uid = decodedToken.uid;
    // ...
  })
  .catch((error) => {
    // Handle error
  });

Ява

// idToken comes from the client app (shown above)
FirebaseToken decodedToken = FirebaseAuth.getInstance().verifyIdToken(idToken);
String uid = decodedToken.getUid();

Питон

# id_token comes from the client app (shown above)

decoded_token = auth.verify_id_token(id_token)
uid = decoded_token['uid']

Идти

client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}

token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
	log.Fatalf("error verifying ID token: %v\n", err)
}

log.Printf("Verified ID token: %v\n", token)auth.go

С#

FirebaseToken decodedToken = await FirebaseAuth.DefaultInstance
    .VerifyIdTokenAsync(idToken);
string uid = decodedToken.Uid;

Для проверки токена ID требуется ID проекта. Firebase Admin SDK пытается получить ID проекта одним из следующих методов:

Если SDK был инициализирован с явной опцией приложения projectId , SDK использует значение этой опции.
Если SDK был инициализирован с учетными данными учетной записи службы, SDK использует поле project_id объекта JSON учетной записи службы.
Если переменная среды GOOGLE_CLOUD_PROJECT установлена, SDK использует ее значение в качестве идентификатора проекта. Эта переменная среды доступна для кода, работающего в инфраструктуре Google, такой как App Engine и Compute Engine .

Проверка токенов ID с использованием сторонней библиотеки JWT

Если ваш бэкенд на языке, который не поддерживается Firebase Admin SDK, вы все равно можете проверить токены ID. Сначала найдите стороннюю библиотеку JWT для вашего языка . Затем проверьте заголовок, полезную нагрузку и подпись токена ID.

Убедитесь, что заголовок токена идентификатора соответствует следующим ограничениям:

Требования заголовка токена ID
`alg`	Алгоритм	`"RS256"`
`kid`	Идентификатор ключа	Должен соответствовать одному из открытых ключей, перечисленных на `https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com`

Убедитесь, что полезная нагрузка токена ID соответствует следующим ограничениям:

Требования к полезной нагрузке токена ID
`exp`	Срок годности	Должно быть в будущем. Время измеряется в секундах с начала эпохи UNIX.
`iat`	Выпущено в момент	Должно быть в прошлом. Время измеряется в секундах с эпохи UNIX.
`aud`	Аудитория	Должен быть идентификатором вашего проекта Firebase, уникальным идентификатором вашего проекта Firebase, который можно найти в URL-адресе консоли этого проекта.
`iss`	Эмитент	Должно быть `"https://securetoken.google.com/<projectId>"` , где `<projectId>` — тот же идентификатор проекта, который использовался для `aud` выше.
`sub`	Предмет	Должна быть непустой строкой и должна быть `uid` пользователя или устройства.
`auth_time`	Время аутентификации	Должно быть в прошлом. Время, когда пользователь прошел аутентификацию.

Наконец, убедитесь, что токен ID был подписан закрытым ключом, соответствующим заявлению токена kid . Возьмите открытый ключ с https://www.googleapis.com/robot/v1/metadata/x509/securetoken@system.gserviceaccount.com и используйте библиотеку JWT для проверки подписи. Используйте значение max-age в заголовке Cache-Control ответа от этой конечной точки, чтобы узнать, когда обновлять открытые ключи.

Если все вышеуказанные проверки пройдены успешно, вы можете использовать тему ( sub ) токена ID в качестве uid соответствующего пользователя или устройства.