Admin Auth API 简介
Identity Platform 基于更强大的基础架构构建,支持用户向您的应用和服务进行身份验证。您可以使用 Firebase Admin SDK 将自己的服务器与 Identity Platform 集成,并管理用户或身份验证令牌。您可能出于以下原因而采用这种做法:
用户管理
为了管理 Identity Platform 用户,您需要访问 Google Cloud 控制台 (Google Cloud 控制台),这有时并不方便。管理员用户管理 API 可让您以编程方式访问并管理这些用户。此外,您还可以利用它来执行 Google Cloud 控制台无法执行的一些操作,例如检索用户的完整数据以及更改用户的密码、电子邮件地址或手机号码。
自定义身份验证
您可以将外部的用户系统与 Identity Platform 集成。例如,您可能已经拥有一个用户数据库,或者想要集成 Identity Platform 不提供原生支持的第三方身份提供商。
要执行此操作,您可以使用能够标识用户的任意声明来创建自定义令牌。接下来,用户便可通过这些自定义令牌在客户端应用上登录 Identity Platform 服务,并获得令牌的声明所描述的身份。该身份也会被用于访问其他 Identity Platform 服务,例如 Cloud Storage。
身份验证
Identity Platform 主要用于识别您应用中的用户,以限制他们对其他服务(如 Cloud Storage)的访问。您还可以使用这项服务识别您自己服务器上的此类用户。这样,您可以代表使用 Identity Platform 登录的用户安全地执行服务器端逻辑。
要执行此操作,您可以从使用 Identity Platform 登录的客户端应用中检索一个 ID 令牌,并将该令牌包含在发送至您的服务器的请求中。随后,您的服务器会验证此 ID 令牌,并提取用于标识用户的声明(包括用户的 uid
,用户登录时使用的身份提供方服务等)。这样,您的服务器就能使用这些身份信息代表用户执行操作了。
Firebase Admin SDK 可让您通过管理用户、生成自定义令牌以及验证 ID 令牌,来完成身份验证任务。
自定义用户声明
在某些情况下,您可能需要针对已使用某个受支持的 Identity Platform 身份验证提供商(例如电子邮件地址/密码、Google、Facebook、电话等)登录的用户实施精确的访问控制。为此,您可以结合使用自定义用户声明和应用安全规则。例如,您可以使用自定义声明,针对那些使用 Identity Platform 电子邮件/密码提供商服务登录的用户定义访问控制措施。
用户管理
Firebase Admin SDK 提供了一个具备更高权限的 API,用于管理 Identity Platform 用户。通过此管理员用户管理 API,您不必获取用户的现有凭据,即可以编程方式检索、创建、更新和删除用户,且无需担心客户端速率限制。
管理用户创建自定义令牌
创建自定义令牌的主要目的在于允许用户通过外部或旧版的身份验证机制进行身份验证。该机制可能是您控制的身份验证系统(如您的 LDAP 服务器),也可能是 Identity Platform 不提供原生支持的第三方 OAuth 提供商(如 Instagram 或 LinkedIn)。
Firebase Admin SDK 内置了创建自定义令牌的方法。您还可以使用第三方 JWT 库,采用任何语言以编程方式创建自定义令牌。
您的服务器应创建一个具有唯一标识符 (uid
) 的自定义令牌,并将其传递至客户端应用,客户端应用即可使用该令牌登录 Identity Platform。请参阅创建自定义令牌查找示例代码,并详细了解自定义令牌的创建流程。
验证 ID 令牌
如果您的 Identity Platform 客户端应用与您的后端服务器通信,您可能需要识别服务器上当前登录的用户,以代表他们执行服务器端逻辑。您可以使用 ID 令牌安全地执行此操作,Identity Platform 会在用户登录 Identity Platform 应用时创建这些令牌。ID 令牌符合 OpenID Connect 规范,包含可识别用户的数据,以及其他个人资料和身份验证相关信息。您可以通过自己的后端发送、验证和检查这些令牌。这样,您就可以安全地识别当前登录的用户并授权他们访问您的后端资源。
Firebase Admin SDK 内置了用于验证 ID 令牌的方法。您还可以使用第三方 JWT 库,采用任何语言以编程方式验证 ID 令牌。请参阅验证 ID 令牌,了解关于 ID 令牌验证流程的更多详情以及示例代码。
自定义用户声明
Firebase Admin SDK 可让您为用户账号设置自定义特性。通过自定义用户声明,您可以授予用户不同的访问权限级别(角色),这些访问权限级别将通过应用的安全规则强制执行。
通过 Firebase Admin SDK 修改用户的自定义声明后,修改后的自定义声明将通过 ID 令牌传播给在客户端上经过身份验证的用户。ID 令牌是用于传递这些自定义声明的可信机制,所有经过身份验证的访问都必须验证 ID 令牌,然后才能处理关联的请求。