Firebase Auth ID 令牌的“aud”声明不正确

Question

我正在尝试验证 idToken 后端。用户已成功登录到 Firebase 客户端，但是当我尝试在后端验证 idToken 时，我收到这个不是很有帮助的错误消息

Firebase Auth ID 令牌的“aud”声明不正确

错误消息似乎变得更加有用，归结为在 auth 键中没有项目名称：

错误：Firebase ID 令牌的“aud”（受众）声明不正确。 预期“stripmall-0000”但得到 “617699194096-0aafcvsml0gke61d6077kark051f3e1.apps.googleusercontent.com”。 确保 ID 令牌与 用于验证此 SDK 的服务帐户。看 https://firebase.google.com/docs/auth/server/verify-id-tokens 为 有关如何检索 ID 令牌的详细信息。

任何人都知道可能出了什么问题？我从客户端正确收到了 tokenId，所以这应该不是问题。如果以前有人问过这个问题或以任何其他方式微不足道，请真诚地道歉。

  firebase.initializeApp({
        serviceAccount: {
            "type": "service_account",
            "project_id": <project id here>,
            "private_key_id": <key id goes here>,
            "private_key": <key goes here>
            "client_email": <email goes here>,
            "client_id": <my client id>,
            "auth_uri": "https://accounts.google.com/o/oauth2/auth",
            "token_uri": "https://accounts.google.com/o/oauth2/token",
            "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
            "client_x509_cert_url": <url goes here>
        },
        databaseURL: <my db url here>
    });

    router.post("/verify", function (req, res) {
        firebase.auth().verifyIdToken(req.body.idToken).then(function (decodedToken) {
            var uid = decodedToken.sub;
            res.send(uid);
        }).catch(function (error, param2) {
            console.log(error);  // 'Firebase Auth ID token has incorrect "aud" claim'
        });

    });

Answer 1

您的问题可能是您尝试使用 auth() 函数之一返回的 JWT 令牌，例如 firebaseRef.auth().signInWithPopup()。这些确实返回了一个 JWT 令牌，但是身份验证声明可能是错误的，并且不会通过 verifyIdToken 的验证。 Firebase 技术支持证实了这一点。

您必须使用firebaseRef.auth().currentUser.getToken() 函数。该令牌将通过验证。

Answer 2

TLDR：正如另一个答案中提到的，您没有正确初始化应用程序。

虽然我在这方面有点晚了，但我也遇到了同样的问题，所以我决定深入了解背后发生了什么。

首先，除非在提出此问题后 API 已更改，否则 serviceAccount 不作为属性作为 AppOptions 接口的一部分存在，这可能就是您收到错误的原因。因此，我将假设您所拥有的内容应包含在 credential 键中。

其次，您会看到在 https://github.com/firebase/firebase-admin-node/blob/master/src/auth/token-verifier.ts（撰写本文时的第 187 行）引发了此错误，其中将令牌中的 aud 声明与 this.projectId 进行比较。

现在，正如其他答案所提到的，这可能是因为您尝试验证的令牌不是在客户端创建的，而是通过其他一些自定义方法创建的，在这种情况下，aud 声明可能不存在，完全随机的东西，或者绝对不等于你的projectId，所以你应该先检查一下。

但是，如果您确定令牌是在客户端创建的，则归结为 projectId 未设置，或者至少未按您期望的方式设置。如果您查看https://github.com/firebase/firebase-admin-node/blob/master/src/utils/index.ts 中的getProjectId() 方法（撰写本文时的第66 行），您会看到projectId 是通过以下三种方式之一确定的：直接来自app.options 对象，来自@ app.options.credential 中的 987654334@ 属性，或来自 process.env.GOOGLE_CLOUD_PROJECT || process.env.GCLOUD_PROJECT。这意味着如果未设置 projectId 并且您的项目托管在 GCloud 上（我假设 stripmall-0000 是），那么 Google 将自动将您当前环境的 projectId 用于与 firebase-auth 相关的任何内容，而不是原始项目的 projectId。

所以，三个选项：

1. 使用直接在AppOptions 中设置的projectId 初始化您的应用：

   firebase.initializeApp({
       databaseURL: <my db url here>,
       // Set your projectId directly here in options:
       projectId: <your-projectId-here>
   });
   

2. 或者通过正确设置您的凭据对象可能更好地做到这一点：

   firebase.initializeApp({
       credentials: admin.credential.cert(<<path-to-your-certificate> || <admin.ServiceAccount object>>),
       databaseURL: <my db url here>
   });
   

3. 或者，只需将应用程序托管在与您的 Firebase 应用程序相同的项目中（现在它们是同一生态系统的一部分），以便环境变量相同。 （实际上并不是 100% 关于这一点，但我假设这就是 firebase-functions a.k.a. cloud-functions 的工作原理）

Answer 3

我的问题是不是令牌，而是我需要使用服务帐户初始化我的后端。这样做您还可以从本地开发服务器进行测试和调试。

FileInputStream serviceAccount = new FileInputStream("path/to/serviceAccountKey.json");

FirebaseOptions options = new FirebaseOptions.Builder()
            .setCredentials(GoogleCredentials.fromStream(serviceAccount))
            .setDatabaseUrl("https://<DATABASE_NAME>.firebaseio.com/")
            .build();

FirebaseApp.initializeApp(options);
FirebaseAuth firebaseAuth = FirebaseAuth.getInstance();

// Get the FB uid from the token
FirebaseToken decodedToken = firebaseAuth.verifyIdTokenAsync(token).get();
String uid = decodedToken.getUid();

来源：https://firebase.google.com/docs/admin/setup

Answer 4

正如 Thach Lockevn 在 cmets 中提到的 对我有用的解决方案是：

import { AngularFireAuth } from '@angular/fire/auth';
import { auth } from 'firebase/app';

this.angularFireAuth.signInWithPopup(new auth.GoogleAuthProvider()).then((googleAuth) => {
        this.user = googleAuth.user;
        googleAuth.user.getIdToken().then(tkn => {
            this.token = tkn;
            //send the token to the backend...
        });
    });

Answer 5

如果您在本地运行，如果您的 GOOGLE_APPLICATION_CREDENTIALS 环境变量不正确，也会弹出此错误消息。检查此环境变量设置的 JSON 键是否与项目的匹配。

Answer 6

还有另一种情况会产生这种令人沮丧的错误。如果您打开了 Postman、Insomnia、GraphQL Playground（这次是罪魁祸首）等查询工具，那么即使您的身份验证密钥已更改，这些工具也可能持有旧的身份验证承载令牌并向您的 API 发出请求。

这里的简单解决方案是清除当前使用这些 Bearer 令牌进行身份验证的所有请求并重新进行身份验证。

这对于 GraphQL Playground 来说尤其令人讨厌，因为它的基本特性迫使您将身份验证令牌复制/粘贴到每个查询选项卡的标题中，因此如果您不关闭或修改每个选项卡，您仍然会正在向您的 API 控制台发送此错误消息。

我推荐 Insomnia 作为解决此问题的方法，与正确的查询链接做法一样，您可以完全避免这种情况。更多详细信息：您可以通过 Insomnia 的环境变量之一将用户身份验证查询的不记名令牌结果自动传递给任何其他查询。

Answer 7

错误的受众（错误的项目 GOOGLE 项目之间的冲突 FIX）

我在 GKE 集群中使用 NetJS 服务器（使用帐户 A 创建），并尝试将管理 SDK 连接到外部 Firebase 应用（使用帐户 B 创建）。

GKE 使用影响 NextJS 应用的环境变量设置凭据

解决方案

我为 NextJS 应用设置了GOOGLE_APPLICATION_CREDENTIALS 环境（您可以使用.env 文件。

结论

Node 变量优先于默认的 auth 应用程序（疯狂！）

https://firebase.google.com/docs/admin/setup#initialize_the_sdk

Answer 8

auth ID Token有两种

1. 基于谷歌
2. Firebase 提供 AuthIDToken

如果您使用 Firebase 身份验证实现它，则需要 Firebase 提供的 Token。

您将获得第一个 Google id 令牌，并使用该令牌获得用于身份验证 firebase 的凭据 ,这里提供

idToken : 谷歌 id 令牌

AuthCredential credential = GoogleAuthProvider.getCredential(idToken, null)

您正在使用

登录firebase

firebase.signInWithCredential(credential).addOnCompleteListener(this, task -> { ....})

在此回调中，您将获得 firebase id 令牌

ftoken : firebase id 令牌

String ftoken = task.getResult().getUser().getIdToken(false).getResult().getToken()