Configurer des revendications personnalisées sur des utilisateurs
Ce document explique comment configurer des revendications personnalisées sur les utilisateurs d'Identity Platform. Les revendications personnalisées sont insérées dans les jetons utilisateur lors de l'authentification. Votre application peut exploiter ces revendications pour gérer des scénarios d'autorisation complexes, tels que la restriction de l'accès d'un utilisateur à une ressource en fonction de son rôle.
Configurer des revendications personnalisées
Pour des raisons de sécurité, définissez des revendications personnalisées à l'aide du SDK Admin sur votre serveur:
Si vous ne l'avez pas déjà fait, installez le SDK Admin.
Définissez la revendication personnalisée que vous souhaitez utiliser. Dans l'exemple suivant, une revendication personnalisée est définie sur l'utilisateur pour indiquer qu'il est un administrateur :
Node.js
// Set admin privilege on the user corresponding to uid. getAuth() .setCustomUserClaims(uid, { admin: true }) .then(() => { // The new custom claims will propagate to the user's ID token the // next time a new one is issued. });Java
// Set admin privilege on the user corresponding to uid. Map<String, Object> claims = new HashMap<>(); claims.put("admin", true); FirebaseAuth.getInstance().setCustomUserClaims(uid, claims); // The new custom claims will propagate to the user's ID token the // next time a new one is issued.Python
# Set admin privilege on the user corresponding to uid. auth.set_custom_user_claims(uid, {'admin': True}) # The new custom claims will propagate to the user's ID token the # next time a new one is issued.Go
// Get an auth client from the firebase.App client, err := app.Auth(ctx) if err != nil { log.Fatalf("error getting Auth client: %v\n", err) } // Set admin privilege on the user corresponding to uid. claims := map[string]interface{}{"admin": true} err = client.SetCustomUserClaims(ctx, uid, claims) if err != nil { log.Fatalf("error setting custom claims %v\n", err) } // The new custom claims will propagate to the user's ID token the // next time a new one is issued.C#
// Set admin privileges on the user corresponding to uid. var claims = new Dictionary<string, object>() { { "admin", true }, }; await FirebaseAuth.DefaultInstance.SetCustomUserClaimsAsync(uid, claims); // The new custom claims will propagate to the user's ID token the // next time a new one is issued.Validez la revendication personnalisée la prochaine fois qu'elle est envoyée à votre serveur :
Node.js
// Verify the ID token first. getAuth() .verifyIdToken(idToken) .then((claims) => { if (claims.admin === true) { // Allow access to requested admin resource. } });Java
// Verify the ID token first. FirebaseToken decoded = FirebaseAuth.getInstance().verifyIdToken(idToken); if (Boolean.TRUE.equals(decoded.getClaims().get("admin"))) { // Allow access to requested admin resource. }Python
# Verify the ID token first. claims = auth.verify_id_token(id_token) if claims['admin'] is True: # Allow access to requested admin resource. passGo
// Verify the ID token first. token, err := client.VerifyIDToken(ctx, idToken) if err != nil { log.Fatal(err) } claims := token.Claims if admin, ok := claims["admin"]; ok { if admin.(bool) { //Allow access to requested admin resource. } }C#
// Verify the ID token first. FirebaseToken decoded = await FirebaseAuth.DefaultInstance.VerifyIdTokenAsync(idToken); object isAdmin; if (decoded.Claims.TryGetValue("admin", out isAdmin)) { if ((bool)isAdmin) { // Allow access to requested admin resource. } }Pour déterminer quelles revendications personnalisées sont présentées à un utilisateur, procédez comme suit :
Node.js
// Lookup the user associated with the specified uid. getAuth() .getUser(uid) .then((userRecord) => { // The claims can be accessed on the user record. console.log(userRecord.customClaims['admin']); });Java
// Lookup the user associated with the specified uid. UserRecord user = FirebaseAuth.getInstance().getUser(uid); System.out.println(user.getCustomClaims().get("admin"));Python
# Lookup the user associated with the specified uid. user = auth.get_user(uid) # The claims can be accessed on the user record. print(user.custom_claims.get('admin'))Go
// Lookup the user associated with the specified uid. user, err := client.GetUser(ctx, uid) if err != nil { log.Fatal(err) } // The claims can be accessed on the user record. if admin, ok := user.CustomClaims["admin"]; ok { if admin.(bool) { log.Println(admin) } }C#
// Lookup the user associated with the specified uid. UserRecord user = await FirebaseAuth.DefaultInstance.GetUserAsync(uid); Console.WriteLine(user.CustomClaims["admin"]);
Lorsque vous configurez des revendications personnalisées, tenez compte des points suivants:
- La taille des revendications personnalisées ne peut pas dépasser 1 000 octets. Toute tentative de transmission de revendications d'une taille supérieure à 1 000 octets génère une erreur.
- Les revendications personnalisées sont insérées dans le jeton JWT de l'utilisateur lors de l'émission du jeton. Les nouvelles revendications ne sont pas disponibles tant que le jeton n'est pas actualisé. Vous pouvez actualiser un jeton en mode silencieux en appelant
user.getIdToken(true). - Pour assurer la continuité et la sécurité, ne définissez des revendications personnalisées que dans un environnement de serveur sécurisé.
Étapes suivantes
- En savoir plus sur les fonctions de blocage, qui peuvent également servir à définir des revendications personnalisées
- Pour en savoir plus sur les revendications personnalisées d'Identity Platform, consultez la documentation de référence du SDK Admin.