Mengonfigurasi klaim kustom pada pengguna

Dokumen ini menjelaskan cara mengonfigurasi klaim kustom pada pengguna dengan Identity Platform. Klaim kustom disisipkan ke token pengguna selama autentikasi. Aplikasi Anda dapat menggunakan klaim ini untuk menangani skenario otorisasi yang kompleks, seperti membatasi akses pengguna ke resource berdasarkan perannya.

Menyiapkan klaim kustom

Untuk menjaga keamanan, tetapkan klaim kustom menggunakan Admin SDK di server Anda:

  1. Instal Admin SDK jika Anda belum melakukannya.

  2. Tetapkan klaim kustom yang ingin Anda gunakan. Pada contoh berikut, klaim kustom ditetapkan pada pengguna untuk menjelaskan bahwa dia adalah administrator:

    Node.js 

    // Set admin privilege on the user corresponding to uid.

getAuth()
  .setCustomUserClaims(uid, { admin: true })
  .then(() => {
    // The new custom claims will propagate to the user's ID token the
    // next time a new one is issued.
  });
    custom_claims.js

    Java 

    // Set admin privilege on the user corresponding to uid.
Map<String, Object> claims = new HashMap<>();
claims.put("admin", true);
FirebaseAuth.getInstance().setCustomUserClaims(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
    FirebaseAuthSnippets.java

    Python 

    # Set admin privilege on the user corresponding to uid.
auth.set_custom_user_claims(uid, {'admin': True})
# The new custom claims will propagate to the user's ID token the
# next time a new one is issued.
    index.py

    Go 

    // Get an auth client from the firebase.App
client, err := app.Auth(ctx)
if err != nil {
	log.Fatalf("error getting Auth client: %v\n", err)
}

// Set admin privilege on the user corresponding to uid.
claims := map[string]interface{}{"admin": true}
err = client.SetCustomUserClaims(ctx, uid, claims)
if err != nil {
	log.Fatalf("error setting custom claims %v\n", err)
}
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
    auth.go

    C# 

    // Set admin privileges on the user corresponding to uid.
var claims = new Dictionary<string, object>()
{
    { "admin", true },
};
await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(uid, claims);
// The new custom claims will propagate to the user's ID token the
// next time a new one is issued.
    FirebaseAuthSnippets.cs

  3. Validasi klaim kustom pada saat berikutnya klaim tersebut dikirimkan ke server Anda:

    Node.js 

    // Verify the ID token first.
getAuth()
  .verifyIdToken(idToken)
  .then((claims) => {
    if (claims.admin === true) {
      // Allow access to requested admin resource.
    }
  });
    custom_claims.js

    Java 

    // Verify the ID token first.
FirebaseToken decoded = FirebaseAuth.getInstance().verifyIdToken(idToken);
if (Boolean.TRUE.equals(decoded.getClaims().get("admin"))) {
  // Allow access to requested admin resource.
}
    FirebaseAuthSnippets.java

    Python 

    # Verify the ID token first.
claims = auth.verify_id_token(id_token)
if claims['admin'] is True:
    # Allow access to requested admin resource.
    pass
    index.py

    Go 

    // Verify the ID token first.
token, err := client.VerifyIDToken(ctx, idToken)
if err != nil {
	log.Fatal(err)
}

claims := token.Claims
if admin, ok := claims["admin"]; ok {
	if admin.(bool) {
		//Allow access to requested admin resource.
	}
}
    auth.go

    C# 

    // Verify the ID token first.
FirebaseToken decoded = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(idToken);
object isAdmin;
if (decoded.Claims.TryGetValue("admin", out isAdmin))
{
    if ((bool)isAdmin)
    {
        // Allow access to requested admin resource.
    }
}

    FirebaseAuthSnippets.cs

  4. Untuk menentukan klaim kustom yang ada bagi pengguna:

    Node.js 

    // Lookup the user associated with the specified uid.
getAuth()
  .getUser(uid)
  .then((userRecord) => {
    // The claims can be accessed on the user record.
    console.log(userRecord.customClaims['admin']);
  });
    custom_claims.js

    Java 

    // Lookup the user associated with the specified uid.
UserRecord user = FirebaseAuth.getInstance().getUser(uid);
System.out.println(user.getCustomClaims().get("admin"));
    FirebaseAuthSnippets.java

    Python 

    # Lookup the user associated with the specified uid.
user = auth.get_user(uid)
# The claims can be accessed on the user record.
print(user.custom_claims.get('admin'))
    index.py

    Go 

    // Lookup the user associated with the specified uid.
user, err := client.GetUser(ctx, uid)
if err != nil {
	log.Fatal(err)
}
// The claims can be accessed on the user record.
if admin, ok := user.CustomClaims["admin"]; ok {
	if admin.(bool) {
		log.Println(admin)
	}
}
    auth.go

    C# 

    // Lookup the user associated with the specified uid.
UserRecord user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid);
Console.WriteLine(user.CustomClaims["admin"]);
    FirebaseAuthSnippets.cs

Saat menyiapkan klaim kustom, perhatikan hal berikut:

  • Klaim kustom tidak boleh berukuran lebih dari 1.000 byte. Mencoba meneruskan klaim yang berukuran lebih besar dari 1.000 byte akan menghasilkan error.
  • Klaim kustom disisipkan ke JWT pengguna saat token dikeluarkan. Klaim baru tidak tersedia hingga token dimuat ulang. Anda dapat me-refresh token secara otomatis dengan memanggil user.getIdToken(true).
  • Untuk mempertahankan kontinuitas dan keamanan, hanya tetapkan klaim kustom di lingkungan server yang aman.

Langkah selanjutnya