问题描述
我正在使用Oauth2通过其Google帐户对第三方Firebase项目所有者进行身份验证,以授予对其Firestore Cloud Platform项目的访问权限。我的目标是让数据库触发器运行,而不是从我自己的数据库运行,而是在第三方管理员拥有的数据库上运行,即我不拥有或无法直接访问的数据库。
对于我自己的管理员,我将使用自己的服务帐户:
const admin = require('firebase-admin');
const serviceAccount = require('./path/to/serviceAccountKey.json');
admin.initializeApp({
credential: admin.credential.cert(serviceAccount)
});
const db = admin.firestore();
第三方Firebase管理员是否可以在不手动共享项目的情况下授予对其数据库的访问权限?
打开不是专门通过firebase-admin sdk进行操作的选项吗?
可能的选择可能类似于:
- 通过
Oauth获得第三方访问权限
- 现有Google Cloud API可以通过
serviceAccount.json权限或其他方式获取其Firebase Project Settings或Oauth。
要实现这一目标:
const admin = require('firebase-admin');
//Maybe this??
const thirdPartyServiceAccount = require('./path/to/serviceAccountKey.json');
admin.initializeApp({
credential: admin.credential.cert(serviceAccount)
});
//Or this??
admin.initializeApp({
credential: admin.credential.refreshToken(thirdPartyRefreshToken)
});
const thirdPartyDB = admin.firestore();
相似的问题似乎无法解决我的用例
How to use Admin SDK with limited privileges on Firestore?
解决方法
在编写后端代码以使用firebase-admin或任何Google Cloud SDK(不是网络和移动客户端)访问Firestore时,所有访问都是通过用于初始化的服务帐户帐户授予的SDK。几乎所有Google Cloud产品都是这种情况,身份验证系统称为Cloud IAM。
如果要授予某方对数据库的访问权限,通常的过程是create a service account,并仅授予该方需要的permissions访问权限。然后,他们可以使用该服务帐户初始化要使用的SDK,IAM将确保该帐户只能执行允许的任何操作。