Comment protéger le point de terminaison HTTP de Firebase Cloud Function pour n'autoriser que les utilisateurs authentifiés par Firebase ?

Question

Avec la nouvelle fonction cloud de firebase, j'ai décidé de déplacer certains de mes endpoints HTTP vers firebase. Tout fonctionne très bien... Mais j'ai le problème suivant. J'ai deux points d'extrémité construits par des déclencheurs HTTP (fonctions de nuage)

1. Un endpoint API pour créer des utilisateurs et retourner le Token personnalisé généré par Firebase Admin SDK.
2. Un point de terminaison de l'API pour récupérer certains détails de l'utilisateur.

Le premier point d'accès est parfait, mais pour mon deuxième point d'accès, je voudrais le protéger uniquement pour les utilisateurs authentifiés, c'est-à-dire ceux qui possèdent le jeton que j'ai généré précédemment.

Comment dois-je m'y prendre pour résoudre ce problème ?

Je sais que nous pouvons obtenir les paramètres de l'en-tête dans la fonction cloud en utilisant

request.get('x-myheader')

mais existe-t-il un moyen de protéger le point de terminaison comme on protège la base de données en temps réel ?

Answer 1

Il y a un officiel exemple de code pour ce que vous essayez de faire. Il illustre comment configurer votre fonction HTTPS pour exiger un en-tête Authorization avec le jeton que le client a reçu lors de l'authentification. La fonction utilise la bibliothèque firebase-admin pour vérifier le jeton.

Vous pouvez également utiliser " fonctions appelables "Il est possible de simplifier une grande partie de cette procédure, si votre application est en mesure d'utiliser les bibliothèques client de Firebase.

Answer 2

Comme mentionné par @Doug, vous pouvez utiliser firebase-admin pour vérifier un jeton. J'ai mis en place un exemple rapide :

exports.auth = functions.https.onRequest((req, res) => {
  cors(req, res, () => {
    const tokenId = req.get('Authorization').split('Bearer ')[1];

    return admin.auth().verifyIdToken(tokenId)
      .then((decoded) => res.status(200).send(decoded))
      .catch((err) => res.status(401).send(err));
  });
});

Dans l'exemple ci-dessus, j'ai également activé CORS, mais c'est facultatif. D'abord, vous obtenez le Authorization et trouver l'en-tête token .

Ensuite, vous pouvez utiliser firebase-admin pour vérifier ce jeton. Vous obtiendrez les informations décodées pour cet utilisateur dans la réponse. Sinon, si le jeton n'est pas valide, une erreur sera générée.

Answer 3

Comme l'a également mentionné @Doug, vous pouvez utiliser Fonctions appelables afin de exclure certains codes passe-partout de votre client et de votre serveur.

Exemple de fonction appelable :

export const getData = functions.https.onCall((data, context) => {
  // verify Firebase Auth ID token
  if (!context.auth) {
    return { message: 'Authentication Required!', code: 401 };
  }

  // do your things..
  const uid = context.auth.uid;
  const query = data.query;

  return { message: 'Some Data', code: 400 };
});

Il peut être invoqué directement depuis votre client comme suit :

firebase.functions().httpsCallable('getData')({query}).then(result => console.log(result));

Answer 4

Les méthodes ci-dessus authentifient l'utilisateur en utilisant la logique à l'intérieur de la fonction, donc la fonction doit toujours être invoquée pour effectuer la vérification.

C'est une méthode tout à fait acceptable, mais dans un souci d'exhaustivité, il existe une alternative :

Vous pouvez définir une fonction comme étant "privée" de sorte qu'elle ne peut pas ne peut être invoqué que par les utilisateurs enregistrés (vous décidez des permissions). Dans ce cas, les demandes non authentifiées sont refusées en dehors du contexte de la fonction, et la fonction est pas invoqué du tout.

Voici les références à (a) Configuration des fonctions comme publiques/privées et ensuite (b) l'authentification des utilisateurs finaux à vos fonctions .

Notez que les documents ci-dessus sont pour Google Cloud Platform, et en effet, cela fonctionne car chaque projet Firebase est également un projet BPC. Cette méthode présente un inconvénient : à l'heure actuelle, elle ne fonctionne qu'avec une authentification basée sur un compte Google.

Answer 5

Dans Firebase, afin de simplifier votre code et votre travail, il suffit de conception architecturale :

1. Pour les sites/contenus accessibles au public utiliser Les déclencheurs HTTPS avec Express . Pour restreindre uniquement les sites identiques ou site spécifique uniquement utiliser CORS pour contrôler cet aspect de la sécurité. Cela a du sens car Express est utile pour le référencement en raison de son contenu de rendu côté serveur.
2. Pour les applications qui nécessitent une authentification de l'utilisateur utiliser Fonctions Firebase appelables par HTTPS puis utilisez le context pour vous épargner tous les tracas. Cela a également du sens, parce que, comme une application à page unique construite avec AngularJS, AngularJS est mauvais pour le référencement, mais comme il s'agit d'une application protégée par un mot de passe, vous n'avez pas besoin du référencement non plus. En ce qui concerne les modèles, AngularJS dispose d'un modèle intégré, donc pas besoin de modèle côté serveur avec Express . Alors Firebase Callable Functions devrait suffire.

En gardant à l'esprit ce qui précède, mettez fin aux tracas et simplifiez-vous la vie.