只允许具有特定自定义声明的用户调用 Firebase 函数
Only allow Firebase function to be called by users with specific custom claims
我有这个功能可以为用户设置自定义声明:
export const setUserClaims = functions.https.onRequest((req, res) => {
return admin.auth().setCustomUserClaims(req.body.uid, req.body.claims);
});
我只希望超级管理员用户可以使用此功能,即包含 {admin: true}.
的自定义声明
因此 admin 可以通过调用此函数为支持人员设置用户声明。
我一直在四处寻找,但没有找到 100% 稳健和安全的明显答案。
我该怎么做?
您可以创建一个 HttpsCallable 云函数,这样它会自动从客户端获取经过身份验证的用户并将其与其他信息一起放入 context.auth 对象中。
函数可以是这样的:
async function myFunctionImpl(params, context) {
if (!context.auth.token.admin) {
throw new HttpsError('permission-denied');
}
// function code
}
export const myFunction = functions.https.onCall(myFunctionImpl);
要调用它,您可以使用函数客户端。这是网络示例:
await firebase
.functions()
.httpsCallable("myFunction")({example: "hello"});
这样,如果您在客户端对用户进行身份验证,它将把身份验证传递给函数。
我有这个功能可以为用户设置自定义声明:
export const setUserClaims = functions.https.onRequest((req, res) => {
return admin.auth().setCustomUserClaims(req.body.uid, req.body.claims);
});
我只希望超级管理员用户可以使用此功能,即包含 {admin: true}.
因此 admin 可以通过调用此函数为支持人员设置用户声明。
我一直在四处寻找,但没有找到 100% 稳健和安全的明显答案。
我该怎么做?
您可以创建一个 HttpsCallable 云函数,这样它会自动从客户端获取经过身份验证的用户并将其与其他信息一起放入 context.auth 对象中。
函数可以是这样的:
async function myFunctionImpl(params, context) {
if (!context.auth.token.admin) {
throw new HttpsError('permission-denied');
}
// function code
}
export const myFunction = functions.https.onCall(myFunctionImpl);
要调用它,您可以使用函数客户端。这是网络示例:
await firebase
.functions()
.httpsCallable("myFunction")({example: "hello"});
这样,如果您在客户端对用户进行身份验证,它将把身份验证传递给函数。