Esta página se ha traducido con Cloud Translation API.

Configurar reclamaciones personalizadas en los usuarios

En este documento se explica cómo configurar demandas personalizadas en los usuarios con Identity Platform. Las reclamaciones personalizadas se insertan en los tokens de usuario durante la autenticación. Tu aplicación puede usar estas reclamaciones para gestionar escenarios de autorización complejos, como restringir el acceso de un usuario a un recurso en función de su rol.

Configurar reclamaciones personalizadas

Para mantener la seguridad, define las reclamaciones personalizadas con el SDK de administrador en tu servidor:

Si aún no lo has hecho, instala el SDK Admin.

Define la reclamación personalizada que quieras usar. En el siguiente ejemplo, se define una reclamación personalizada en el usuario para describir que es administrador:

Node.js

// Set admin privilege on the user corresponding to uid.

getAuth()
  .setCustomUserClaims(uid, { admin: true })
  .then(() => {
    // The new custom claims will propagate to the user's ID token the
    // next time a new one is issued.
  });custom_claims.js

Java

// Set admin privilege on the user corresponding to uid.
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.FirebaseAuthSnippets.java

Python

# Set admin privilege on the user corresponding to uid.
auth.set_custom_user_claims(uid, {'admin': True})
# The new custom claims will propagate to the user's ID token the
# next time a new one is issued.index.py

Go

// Get an auth client from the firebase.App
client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}

// Set admin privilege on the user corresponding to uid.
claims := map[string]interface{}{"admin": true}
err = client.SetCustomUserClaims(ctx, uid, claims)
if err != nil {
	log.Fatalf("error setting custom claims %v\n", err)
}
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.auth.go

C#

// Set admin privileges on the user corresponding to uid.
var claims = new Dictionary<string, object>()
{
    { "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.FirebaseAuthSnippets.cs

Valida la reclamación personalizada la próxima vez que se envíe a tu servidor:

Node.js

// Verify the ID token first.
getAuth()
  .verifyIdToken(idToken)
  .then((claims) => {
    if (claims.admin === true) {
      // Allow access to requested admin resource.
    }
  });custom_claims.js

Java

// Verify the ID token first.
FirebaseToken decoded = FirebaseAuth.getInstance().verifyIdToken(idToken);
if (Boolean.TRUE.equals(decoded.getClaims().get("admin"))) {
  // Allow access to requested admin resource.
}FirebaseAuthSnippets.java

Python

# Verify the ID token first.
claims = auth.verify_id_token(id_token)
if claims['admin'] is True:
    # Allow access to requested admin resource.
    passindex.py

Go

// Verify the ID token first.
token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
	log.Fatal(err)
}

claims := token.Claims
if admin, ok := claims["admin"]; ok {
	if admin.(bool) {
		//Allow access to requested admin resource.
	}
}auth.go

C#

// Verify the ID token first.
FirebaseToken decoded = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(idToken);
object isAdmin;
if (decoded.Claims.TryGetValue("admin", out isAdmin))
{
    if ((bool)isAdmin)
    {
        // Allow access to requested admin resource.
    }
}
FirebaseAuthSnippets.cs

Para determinar qué reclamaciones personalizadas tiene un usuario, sigue estos pasos:

Node.js

// Lookup the user associated with the specified uid.
getAuth()
  .getUser(uid)
  .then((userRecord) => {
    // The claims can be accessed on the user record.
    console.log(userRecord.customClaims['admin']);
  });custom_claims.js

Java

// Lookup the user associated with the specified uid.
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
System.out.println(user.getCustomClaims().get("admin"));FirebaseAuthSnippets.java

Python

# Lookup the user associated with the specified uid.
user = auth.get_user(uid)
# The claims can be accessed on the user record.
print(user.custom_claims.get('admin'))index.py

Go

// Lookup the user associated with the specified uid.
user, err := client.GetUser(ctx, uid)
if err != nil {
	log.Fatal(err)
}
// The claims can be accessed on the user record.
if admin, ok := user.CustomClaims["admin"]; ok {
	if admin.(bool) {
		log.Println(admin)
	}
}auth.go

C#

// Lookup the user associated with the specified uid.
UserRecord user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine(user.CustomClaims["admin"]);FirebaseAuthSnippets.cs

Cuando configures reclamaciones personalizadas, ten en cuenta lo siguiente:

Las reclamaciones personalizadas no pueden superar los 1000 bytes. Si intentas enviar reclamaciones de más de 1000 bytes, se producirá un error.
Las reclamaciones personalizadas se insertan en el JWT del usuario cuando se emite el token. Las nuevas reclamaciones no estarán disponibles hasta que se actualice el token. Puedes actualizar un token de forma silenciosa llamando a user.getIdToken(true).
Para mantener la continuidad y la seguridad, solo debes definir reclamaciones personalizadas en un entorno de servidor seguro.

Siguientes pasos

Consulta más información sobre las funciones de bloqueo, que también se pueden usar para definir reclamaciones personalizadas.
Consulte más información sobre las reclamaciones personalizadas de Identity Platform en la documentación de referencia del SDK de administrador.