问题描述
我试图通过验证 Id 令牌在后端使用 Firebase Admin 进行“伪造”客户端身份验证,以便从后端使用 Firestore。
这个想法是将我的服务器用作客户端和 Firestore 之间的中间件。
我可以在后端初始化 FirebaseAdmin 并从客户端正确地初始化 verifyIdToken(),但我不知道在那之后使用 firestore。你们能告诉我一个方法吗?
import * as firebaseAdmin from 'firebase-admin';
import firebaseServiceAccountKey from './firebaseServiceAccountKey.json';
if (!firebaseAdmin.apps.length) {
firebaseAdmin.initializeApp({
credential: firebaseAdmin.credential.cert(
firebaseServiceAccountKey
),databaseURL: ##########################,});
}
// This is working
function getUser(token) {
return firebaseAdmin
.auth()
.verifyIdToken(token)
.then((decodedToken) => {
return decodedToken;
})
.catch((error) => {
return error
});
}
/*
Now I want to use Firestore authenticated with this token,should I
import firebase from "firebase"
and then try auth() with token?
*/
解决方法
通过 Admin SDK 访问 Firestore 始终具有完全管理权限。无法以您验证其令牌的用户身份访问 Firestore。
如果您想使用这种中间件方法,您必须确保它只访问用户在代码中获得授权的数据。
另见:
- Pass user auth to Firestore from Cloud functions
- How to make Firebase Functions act as a user instead of being an admin?
如果目标是更严格地控制谁可以登录您的应用,请考虑改用自定义身份验证 - 服务器为每个用户铸造自定义令牌,即客户端 SDK然后用于登录。