如何在 Firebase 中实现基于角色的访问控制

Question

这是我第一次涉足 Firebase 和 nosql，我来自 SQL 背景。

使用简单登录安全电子邮件/密码，如何限制对 Firebase 中数据的访问？例如，一些用户将有权创建业务对象（用户、客户、类别等），而其他用户则不能。有没有办法将权限列表附加到“auth”变量？

Answer 1

没有办法将权限直接附加到 auth 变量（或者至少这似乎不是预期的策略）。我建议创建一个由auth.uid 组织的用户集合，您可以在其中保留任何类型的权限属性，这样您的安全规则可能看起来像这样（未经测试）：

{
  "rules": {
    ".read": true,
    "users": {
      ".write": "root.child('users').child(auth.uid).child('role').val() == 'admin'"
    }
  }
}

其中role 是属于您的users 集合中所有对象的属性。

更新

请看下面的评论：

“无法将权限直接附加到 auth 变量”这在 2017 年发生了变化。您现在可以将自定义声明附加到安全规则中提供的身份验证配置文件。有关自定义声明，请参阅 bojeil 的答案和 Firebase 文档。 ——弗兰克·范·普菲伦

Answer 2

Firebase 通过对 ID 令牌的自定义用户声明启动了对任何用户基于角色的访问的支持：https://firebase.google.com/docs/auth/admin/custom-claims

您将定义管理员访问规则：

{
  "rules": {
    "adminContent": {
      ".read": "auth.token.admin === true",
      ".write": "auth.token.admin === true",
    }
  }
}

使用 Firebase Admin SDK 设置用户角色：

// Set admin privilege on the user corresponding to uid.
admin.auth().setCustomUserClaims(uid, {admin: true}).then(() => {
  // The new custom claims will propagate to the user's ID token the
  // next time a new one is issued.
});

这将传播到相应用户的 ID 令牌声明。 您可以在之后立即强制刷新令牌：user.getIdToken(true)

要从客户端上的令牌中解析它，您需要对 ID 令牌的有效负载进行 base64 解码：https://firebase.google.com/docs/auth/admin/custom-claims#access_custom_claims_on_the_client

您可以根据需要升级/降级用户。如果您有重复的脚本来更改用户的访问级别，他们还提供了一种列出所有用户的编程方式：https://firebase.google.com/docs/auth/admin/manage-users#list_all_users

Answer 3

一年后再次查看“自定义令牌”可能是更好的选择。

https://www.firebase.com/docs/security/guide/user-security.html#section-custom