Firebase admin sdk：用于授权的 idToken 或自定义令牌验证

Question

我在登录时在后端服务器上创建了一个自定义令牌，下面是代码：

UserSchema.methods.generateAuthToken = function() {
 var user = this;
 var access = "auth";

 return firebaseAdmin.default
  .auth()
  .createCustomToken(user._id.toHexString())
  .then(function(token) {
    user.tokens = user.tokens.concat([{ access, token }]);
    return user.save().then(() => {
      return token;
    });
  });
};

并将此令牌存储在 mongodb 中，并通过名为“x-auth”的标头将其发送回客户端，然后将其存储在 cookie 中。

在客户端，使用此令牌登录如下：

axios({
  url: "/api/users/login",
  method: "POST",
  data: {
    email: data.email,
    password: data.password
  }
}).then(res => {
  Cookies.set("x-auth", res.headers["x-auth"], { expires: 7 });
  return firebase
    .auth()
    .signInWithCustomToken(res.headers["x-auth"])
    .then(response => {
      console.log("CA", response);
      response
        .getIdToken()
        .then(idToken => {
          Cookies.set("idToken", idToken, { expires: 7 });
        })
        .catch(e => {});
      dispatch(
        login({
          token: Cookies.get("x-auth")
        })
      );
    });
});

现在为了调用 api 来获取所有用户，我将这些令牌、自定义令牌和 idToken 发送回服务器：

const authenticate = (req, res, next) => {
const token = req.header("x-auth");
const idToken = req.header("idToken");
User.findByToken(token, idToken)
.then(user => {
  if (!user) {
    return Promise.reject({
      message: "no user found with the associated token!"
    });
  }
  req.user = user;
  req.token = token;
  next();
})
.catch(e => {
  res.status(401).send(setErrorMessage(e.message));
});
};

findByToken 如下：

UserSchema.statics.findByToken = function(token, idToken) {
var User = this;
return firebaseAdmin.default
.auth()
.verifyIdToken(idToken)
.then(function(decodedToken) {
  var uid = decodedToken.uid;
  return User.findOne({
    _id: uid,
    "tokens.access": "auth",
    "tokens.token": token
  });
})
.catch(function(e) {
  return Promise.reject(e);
});
};

为什么我必须发送这两个令牌进行授权，这里的概念有什么问题。

https://firebase.google.com/docs/auth/admin/verify-id-tokens

警告：Firebase Admin SDK 中包含的 ID 令牌验证方法旨在验证来自客户端 SDK 的 ID 令牌，而不是您使用 Admin SDK 创建的自定义令牌。有关详细信息，请参阅身份验证令牌。

请澄清我是否可以验证自定义令牌而不是 idToken 来检索 userId 并将其与 DB 匹配，而不是出于一个目的使用不同的令牌，或者我在这里做错了，自定义令牌不应该存储在 DB 中，还有其他一些方法。

现在，当我尝试获取所有用户时，它说：

Firebase ID 令牌已过期。从您的客户端应用程序获取新令牌并重试（auth/id-token-expired）。有关如何检索 ID 令牌的详细信息，请参阅 https://firebase.google.com/docs/auth/admin/verify-id-tokens。

Answer 1

使用令牌时，您需要区分每个令牌及其用途，并且每个令牌都有相关属性。

Custom Tokens：这些令牌将在服务器中生成（正如您所做的那样），并在客户端用于对客户端进行身份验证。这些令牌在一小时后过期。

会话 ID 令牌：（我称之为“会话 ID 令牌”只是为了区分它）当客户端与任何身份验证提供程序进行身份验证时，SDK 将交换用于会话的 ID 令牌的信息。这同样适用于自定义令牌，其中 SDK 将自定义令牌交换为 ID 令牌。 ID 令牌也是短暂的，将在一小时后过期。在获取 ID Token 时，SDK 还会收到一个刷新 Token，用于refreshing 会话 ID Token。 ID 令牌用于向 Firebase 发出经过身份验证的请求。

用于验证的 ID 令牌：要获取此令牌，您需要调用函数“getIDToken”（用于 Web）。此函数将返回一个 ID 令牌，该 ID 令牌只能用于验证来自客户端到您的服务器的请求。与其他令牌类似，这个令牌在一小时后过期。调用 getIDToken 时，如果当前过期，该函数将请求一个新的。

要验证 ID 令牌，您必须使用提到的令牌。如果您尝试使用会话 ID 令牌或自定义令牌，您将收到错误消息。如果您尝试使用过期的 ID 令牌，这同样适用。

所有刷新 ID Token 的调用和任务都由 SDK 在后台处理。

存储这些令牌不是一个好习惯，因为它们将在一小时后过期，最好调用适当的函数来获取最新令牌并传递正确的 ID 令牌以进行验证。

最后，您可以在这些链接中找到用于生成 custom token 和 ID Token 以进行验证的属性。