Ric*_*son 6 javascript node.js express firebase firebase-authentication
我正在开发一个使用 Node.js/Express.js 作为后端的 Web 应用程序,我使用 Firebase 进行用户身份验证,以及管理用户注册等,我使用 Firebase Admin SDK。
当用户想要登录时,我使用 Firebase Client SDK 登录他,如下所示:
// Handling User SignIn
$('#signin').on('click', function(e){
e.preventDefault();
let form = $('#signin-form'),
email = form.find('#email').val(),
pass = form.find('#password').val(),
errorWrapper = form.find('.error-wrapper');
if(email && pass){
firebase.auth().signInWithEmailAndPassword(email, pass)
.catch(err => {
showError(errorWrapper, err.code)
});
}else {
showError(errorWrapper, 'auth/required');
}
});
在此代码下方,我设置了一个观察者来观察用户何时成功登录,成功登录后我得到一个 Firebase ID 令牌,我将其发送到服务器上的端点以将其交换为具有相同声明的会话 cookie ID 令牌,因为后者在 1 小时后过期。
// POST to session login endpoint.
let postIdTokenToSessionLogin = function(url, idToken, csrfToken) {
return $.ajax({
type: 'POST',
url: url,
data: {
idToken: idToken,
csrfToken: csrfToken
},
contentType: 'application/x-www-form-urlencoded'
});
};
// Handling SignedIn Users
firebase.auth().onAuthStateChanged(function(user) {
if (user) {
user.getIdToken().then(function(idToken) {
let csrfToken = getCookie('csrfToken');
return postIdTokenToSessionLogin('/auth/signin', idToken, csrfToken)
.then(() => {
location.href = '/dashboard';
}).catch(err => {
location.href = '/signin';
});
});
});
} else {
// No user is signed in.
}
});
服务器上的登录端点如下所示:
// Session signin endpoint.
router.post('/auth/signin', (req, res) => {
// Omitted Code...
firebase.auth().verifyIdToken(idToken).then(decodedClaims => {
return firebase.auth().createSessionCookie(idToken, {
expiresIn
});
}).then(sessionCookie => {
// Omitted Code...
res.cookie('session', sessionCookie, options);
res.end(JSON.stringify({
status: 'success'
}));
}).catch(err => {
res.status(401).send('UNAUTHORIZED REQUEST!');
});
});
我创建了一个中间件来验证用户会话 cookie,然后再让他访问如下所示的受保护内容:
function isAuthenticated(auth) {
return (req, res, next) => {
let sessionCookie = req.cookies.session || '';
firebase.auth().verifySessionCookie(sessionCookie, true).then(decodedClaims => {
if (auth) {
return res.redirect('/dashboard')
} else {
res.locals.user = decodedClaims;
next();
}
}).catch(err => {
if (auth) next();
else return res.redirect('/signin')
});
}
}
为了在视图上显示用户信息,我在res.locals.user变量上设置了解码声明,并将其传递给下一个中间件,在那里我呈现视图并像这样传递该变量。
router.get('/', (req, res) => {
res.render('dashboard/settings', {
user: res.locals.user
});
});
到目前为止一切都很好,现在问题出现在用户转到他的仪表板更改他的信息(姓名和电子邮件)之后,当他将包含他的姓名和电子邮件的表单提交到服务器上的端点时,我使用 Firebase 更新了他的凭据管理 SDK
// Handling User Profile Update
function settingsRouter(req, res) {
// Validate User Information ...
// Update User Info
let displayName = req.body.fullName,
email = req.body.email
let userRecord = {
email,
displayName
}
return updateUser(res.locals.user.sub, userRecord).then(userRecord => {
res.locals.user = userRecord;
return res.render('dashboard/settings', {
user: res.locals.user
});
}).catch(err => {
return res.status(422).render('dashboard/settings', {
user: res.locals.user
});
});
}
现在,当用户提交表单时,视图会更新,因为我将res.locals.user变量设置为新的,userRecord但是一旦他刷新页面,视图就会显示旧凭据,因为在对受保护内容的任何获取请求之前,中间件isAuthenticated会被执行,而后者会获取用户来自会话 cookie 的信息,其中包含更新之前的旧用户凭据。
到目前为止,这些是我得出的结论以及我试图做的事情:
如果我希望视图正确呈现,我应该退出并再次登录以获取新的 Firebase ID 令牌来创建一个新的会话 cookie,这不是一个选项。
我试图通过从 Admin SDK 创建一个新的 ID 令牌来刷新会话 cookie,但它似乎没有此选项可用,我无法通过客户端 SDK 执行此操作,因为用户已登录。
存储 ID 令牌以供稍后在创建会话 cookie 时使用不是一种选择,因为它们会在 1 小时后过期。
在这里发帖之前,我用谷歌搜索了这个问题,所以非常感谢任何帮助。
我的一个应用程序面临着非常相似的情况。我想答案就在这些线索之中。
Firebase Auth 为依赖会话 cookie 的传统网站提供服务器端会话 cookie 管理。与客户端短期 ID 令牌相比,此解决方案具有多个优点,客户端短期 ID 令牌可能需要每次都需要重定向机制来在过期时更新会话 cookie:
因此,他们在这里暗示您想要从服务器管理会话及其生命周期。
第二条线索在文档中
假设应用程序使用 httpOnly 服务器端 cookie,请使用客户端 SDK 在登录页面上登录用户。生成 Firebase ID 令牌,然后通过 HTTP POST 将 ID 令牌发送到会话登录端点,在该端点中使用 Admin SDK 生成会话 cookie。成功后,应从客户端存储中清除状态。
如果您查看示例代码,甚至可以使用以下命令将持久性显式设置为 None 以从客户端清除状态firebase.auth().setPersistence(firebase.auth.Auth.Persistence.NONE);
因此,他们打算在初始身份验证之外客户端上不存在任何状态。他们明确地清除该状态并期望一个httponlycookie,这样客户端就无法获取该 cookie(实际上只是 ID 令牌)并使用它来获取新的 cookie。
奇怪的是,没有明确的方法来刷新令牌客户端,但它确实存在。你只能真正创建一个具有超长生命周期的会话cookie,并由服务器决定何时删除cookie或撤销刷新令牌等。
因此剩下另一个选择:管理客户端状态。一些示例和教程只是将 ID 令牌通过 cookie 从客户端发送到服务器。satte 位于客户端,客户端可以使用 ID 令牌来使用所有 Firebase 功能。服务器可以验证用户身份并使用token等。
这个场景应该效果更好。如果服务器需要踢掉用户,那么它可以删除 cookie 并撤销刷新令牌(诚然有点苛刻)。
希望有帮助。另一种方案是构建自定义令牌,然后您就可以完全控制。
| 归档时间: |
|
| 查看次数: |
3941 次 |
| 最近记录: |