为管理员使用 Firebase 自定义声明（Firestore 和 Cloud Storage）

Question

授予管理员权限

我正在使用自定义声明向用户授予管理员权限，方法是在创建“admins/{userId}”中的文档时触发它。

然后，云函数将用户自定义声明中的“admin”属性设置为 true。然后用户需要再次登录，他是管理员。

现在我在 Firestore 和 Storage 的安全规则中检查管理员自定义声明，以便用户可以删除/编辑所有内容。

撤销管理员权限？？？

但是当我想撤销用户的管理员权限时，我如何确保权限真的在所有地方都被撤销了。

对于 Firestore，我可以添加一个额外的检查，它也从 Firestore“admins/{userId}”方向获取数据并且不允许访问。

但是如果我撤销了权利并且用户没有刷新他的令牌，他仍然可以编辑/删除 Firestorage 中的所有内容。 而且由于我无法从 Storage-Security 访问 Firestore 数据，我什至无法仔细检查“admins/”方向。

那么，如何可靠地为 firestore 和 storage 实现管理功能？

Answer 1

正如 Doug Stevenson 所说，“已撤销管理员”的令牌应在一小时内过期，之后刷新的令牌将不包含管理员自定义声明。我认为您使用 Firestore 规则检查您的“管理员”集合而不是自定义声明是正确的。

如果立即撤销对 Firebase 存储的权限至关重要，您可能需要重新设计您的应用，以便您的客户不能直接访问存储，而只能通过您构建的 Firebase 函数来访问文件，该函数将根据您的权限验证访问授权Firestore 'admins' 集合，如果获得批准，则将文件提供给客户端。