如何在没有客户端身份验证的情况下从服务器验证 Firebase 用户?
Posted
技术标签:
【中文标题】如何在没有客户端身份验证的情况下从服务器验证 Firebase 用户?【英文标题】:How to authenticate a firebase user from server without client side auth? 【发布时间】:2018-03-19 11:46:31 【问题描述】:我有一个 API,它使用 node admin sdk 连接并调用 firebase。我的客户使用我的 api 获取他们需要的所有东西。我不希望他们直接调用 firebase 进行身份验证,因为我希望客户端代码与 api 和后端分离。
服务器如何对它们进行身份验证?根据当前的文档,即使客户端至少必须向 api 提供他们的 uid(假设他们自己进行了身份验证,对吗?)。
理想情况下,客户端会在 POST 的正文中通过 ssl 向我的 api 提供用户名和密码,然后 api 会将他们登录并发回他们的 id 令牌。推荐的方法是什么?
【问题讨论】:
【参考方案1】:如果您想使用 Firebase 进行身份验证,最好由客户端 SDK 在客户端处理。这是因为身份验证是基于 IP 地址的速率限制,它还允许您跳过会话管理和持久性中的编码过程。
但是,如果您希望登录/用户数量较少,您可以通过在您的服务器上托管客户端 SDK 并将请求手动发送到 Firebase 来实现您想要的。
// app.js
const bodyParser = require('body-parser');
const cookieParser = require('cookie-parser');
const express = require('express');
const firebase = require('firebase'); // client SDK
firebase.initializeApp(
apiKey: "<API_KEY>",
authDomain: "<PROJECT_ID>.firebaseapp.com"
);
const app = express();
app.use(bodyParser.json());
app.use(cookieParser(['array', 'of', 'secrets']));
// on future requests, the UID can be found using `req.cookies['__session'].uid`
app.post('/login', function (req, res, next)
if (!req.body.email) return res.status(400).json(error: 'missing email');
if (!req.body.password) return res.status(400).json(error: 'missing password');
firebase.auth().setPersistence(firebase.auth.Auth.Persistence.NONE) // don't persist auth session
.then(function()
return firebase.auth().signInWithEmailAndPassword(req.body.email, req.body.password)
);
.then((user) => // https://firebase.google.com/docs/reference/js/firebase.User
let uid = user.uid;
// set cookie with UID or some other form of persistence
// such as the Authorization header
res.cookie('__session', uid: uid , signed: true, maxAge: 3600 );
res.set('cache-control', 'max-age=0, private') // may not be needed. Good to have if behind a CDN.
res.send('You have successfully logged in');
return firebase.auth().signOut(); //clears session from memory
)
.catch((err) =>
next(err);
);
);
module.exports = app;
注意:您也可以考虑使用 Cloud Functions 将您的 API 放在一起。根据您的用例,这可能是具有成本效益的选择。
【讨论】:
谢谢,很酷,如果需要,我们可以在服务器上运行客户端库。我现在将在客户端中保留会话管理,看看我在该设置方面能走多远。【参考方案2】:只是想提供一个更新:可以在这里找到使用未记录的 REST API 的答案:Firebase REST auth when creating token with node.js admin sdk
如果可以,我会将其标记为答案。
【讨论】:
以上是关于如何在没有客户端身份验证的情况下从服务器验证 Firebase 用户?的主要内容,如果未能解决你的问题,请参考以下文章
如何在没有用户身份验证的情况下从 Spotify 或任何其他 API 获取歌曲预览
为 Web API 实施 Azure AD 身份验证,可以在有和没有用户上下文的情况下从多个客户端调用?
如何在未经身份验证的情况下从 Google Play 商店请求应用程序信息
是否可以在没有 OAuth2 身份验证对话框的情况下从 Google App-Engine (python) 连接和查询 BigQuery 表?