如何向Firebase验证服务器？

Question

我在Firebase上写了一个应用程序.安全规则和客户端代码不足以使我的应用程序工作.我需要连接服务器来完成一些任务:

• 清理使用onDisconnect处理程序清理的非规范化数据
• 构建我的数据的其他索引,超出了我对 查询的处理能力

Answer 1

更新(20160611):如果您在https://firebase.google.com上创建了项目,则从服务器访问数据库的步骤会有所不同.请参阅此答案:Firebase 3中是否仍可以对令牌进行服务器端验证？

有两种方法可以执行此操作:生成服务器身份验证令牌,或使用Firebase密钥.

生成服务器令牌 您可以使用为自定义登录创建的相同令牌生成器库来生成可以从服务器使用的令牌.然后,您可以根据安全规则提供对此服务器的特殊访问权限.

以下是步骤:

1. 获取服务器语言/平台的令牌生成器库.Node.js和Java服务器往往效果最好.

2. 使用预先选择的uid生成令牌.如果您正在编写node.js服务器,则代码可能如下所示:

   var FirebaseTokenGenerator = require("firebase-token-generator");
   var tokenGenerator = new FirebaseTokenGenerator("<your-firebase-secret>");
   var token = tokenGenerator.createToken(
      {uid: "my-awesome-server"}, 
      { expires: <far_into_the_future_seconds> });
   

3. 使用令牌验证您的客户端.这里有更多的node.js代码:

   var ref = new Firebase("https://<your-firebase>.firebaseio.com/");
   ref.authWithCustomToken(token, function(error, authData) {
     ...
   });
   

4. 如果您的服务器语言没有客户端,例如PHP,请使用REST请求的令牌作为auth参数.

5. 更新您的安全规则以授予您的服务器特殊权限(由uid标识),例如允许对整个Firebase进行读取访问的简单规则

   {
       "rules": {
           ".write": false,
           ".read": "auth.uid === 'my-awesome-server'"
       }
   }
   

6. 访问所有数据,做一些很棒的东西.

好处

• 这是Firebase官方推荐的验证服务器身份的方法.
• 您的服务器将遵守验证规则.
• 服务器只是另一个用户.您可以使用安全规则来提供对数据的细粒度访问.
• 由于访问是细粒度的,因此服务器中的错误不太可能导致损坏,例如删除根节点.

Firebase的秘密

如果您是喜欢生活在边缘的开发人员,并且sudo可以直接使用您的Firebase密钥进行身份验证.

但说真的,不要这样做.这很危险.

不这样做的原因

• 就像盲目使用一样sudo,它非常危险.
• 您的服务器不会遵守您的验证规则.
• 您的服务器对Firebase的完全读/写访问权限.如果它有一个丑陋的bug,它可能会删除或破坏没有业务访问的数据.
• 您的秘密最终会出现在更多地方(可能是出站请求日志等).如果它出来你会面临更大的风险.