firebase - 在使用 Firebase 会话 cookie 时检测 Firestore 安全规则中经过身份验证的用户

问题描述

Firestore 安全规则有一个小问题。我有一个使用 Firebase 和 Firestore 的带有自定义 API 的 React/Redux SPA。

我目前使用 Firebase 官方文档 ( https://firebase.google.com/docs/auth/admin/manage-cookies )中描述的会话 cookie 。因此，当我登录时，cookie 被设置并与后续请求一起发送到 API，这没有问题。

但是现在当我使用会话 cookie 系统登录时，Firestore 规则不允许我读取或写入带有“权限被拒绝”错误的数据，因为 Firestore 请求的 request.auth 对象不再使用会话设置饼干系统...

如何检测用户是否通过我的 Firestore 安全规则中的会话 cookie 进行了身份验证？

使用会话 cookie 在我的 Firebase 外部 API 中登录路由：

login(req, res) {
auth.setPersistence(firebase.auth.Auth.Persistence.NONE);
auth.signInWithEmailAndPassword(req.query.email, req.query.password)
  .then((response) => response.user.getIdToken().then((idToken) => {
    const expiresIn = 60 * 15 * 1000;
    admin.auth().createSessionCookie(idToken, { expiresIn })
      .then((sessionCookie) => {
        const options = { maxAge: expiresIn, httpOnly: true, secure: !!process.env.NODE_ENV === 'production' };
        res.cookie('session', sessionCookie, options);
        auth.signOut();
        res.json(response);
      }, () => {
        res.status(401).write('Error while verifying token.');
      });
  })).catch((err) => {
    console.error(err);
  });
},

基本用户使用 Firestore 获得相同的 API；在请求标头中设置 cookie 登录后立即调用：

get(req, res) {
  const { uid } = req;
  db.collection('users').doc(uid).get().then((doc) => {
    res.json(doc.data());
  })
  .catch((err) => {
    console.log(req.path);
    console.error(err);
    res.json(err);
  });
},

Firestore 安全规则中的权限被拒绝错误：

Error [FirebaseError]: Missing or insufficient permissions.

我需要使用的旧 Firestore 安全规则：

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    function isSignedIn() {
      return request.auth != null;
    }
    match /users/{userId} {
      allow create, update, get: if isSignedIn();
    }
    match /medic/{medicId} {
      allow create, read: if isSignedIn();
    }
  }
}

非常感谢！

标签： firebasecookiesgoogle-cloud-firestorefirebase-authenticationfirebase-security