node.js - Firebase Admin SDK的Node.js身份验证服务器-JWT验证问题

Question

我正在一个项目中，我们将在微服务体系结构中使用不同的服务，并且我们还希望使用一些Firebase服务。我正在使用要在Firebase和其他API项目中使用的自定义JWT的身份验证服务器。

我们想使用Firebase Auth SDK轻松地与FB，Google，Twitter等集成，但是我们需要使用更多数据来丰富用户的令牌。因此，我的思考过程是创建一个使用Firebase Admin SDK的Node.JS身份验证服务器。流程如下：


用户使用客户端上的收藏夹提供程序登录
如果登录成功，则用户将从Firebase收到JWT。这被发送到身份验证服务器进行验证
如果身份验证服务器可以使用admin SDK验证令牌，请创建一个包含更多数据的新自定义令牌，然后将此新的自定义令牌返回给客户端
让客户端使用新的自定义令牌重新进行身份验证，并将其用于与Firebase和我们的其他API项目（主要在.NET Core中）进行通信


步骤1-3正常运行。尝试在其他服务上验证自定义令牌时出现问题。

TL; DR：此处有两个问题：


验证使用Firebase Node.JS Admin SDK发行的自定义令牌时，应使用什么作为公钥？是从Google公开的JWK中提取的密钥，还是从用于签名的私钥中提取的密钥？
如果采用JWK方法，应如何使用kid标头构造自定义令牌？




首先，我对验证的正确方法感到怀疑。 （请原谅，创建OAuth流不是我的经验。）所使用的算法是RS256，因此我应该能够使用公钥来验证令牌。如我所见，有两种方法可以获取此密钥：


从私钥中提取公钥并进行验证。我可以执行此操作，并在我的身份验证服务器上的测试端点上成功验证，但是我认为这是错误的方法
我认为的另一种更正确的方法是使用令牌中的值在我的项目的Google“ /。well-known / openid-configuration /”端点上找到JWK，即


https：//securetoken.google.com/ [项目ID] /。well-known / openid-configuration

检索正确的kid（密钥ID）的指数和模数，并从中创建公钥。

通过执行以下操作从admin SDK生成的令牌

admin.auth().createCustomToken(uid, additionalClaims).then(function(customToken)

有一些自定义声明看起来像这样：

标头：

{
  "alg": "RS256",
  "typ": "JWT"
}

有效载荷：

{
  "claims": {
    "premiumAccount": true,
    "someRandomInnerObject": {
      "something": "somethingRandom"
    }
  },
  "uid": "<uid for the user>",
  "iat": 1488454663,
  "exp": 1488458263,
  "aud": "https://identitytoolkit.googleapis.com/google.identity.identitytoolkit.v1.IdentityToolkit",
  "iss": "firebase-adminsdk-le7ge@<PROJECT ID>.iam.gserviceaccount.com",
  "sub": "firebase-adminsdk-le7ge@<PROJECT ID>.iam.gserviceaccount.com"
}

不过，我似乎无法使方法2正常工作。一个问题是生成的令牌没有 kid标头，因此不符合OpenID规范（AFAIK），这导致两个选项之一：


使用上面的第一种方法。但是，这会导致问题-如果我出于某种原因需要撤消或重置身份验证服务器上的私钥，则需要这样做并将更改也部署到所有其他服务上，从而使解决方案的动态性降低并且更容易出错。
使用jwt.io中提到的一个库手动生成类似的令牌，然后将原始Firebase ID令牌中的kid添加到其标头中。


问题2：


那么，我应该把ass，aud和sub放在什么位置呢？与admin SDK具有相同的值吗？如果是这样，那不是“作弊”，因为他们不再是发行人了吗？
我已经尝试过了（生成了类似的令牌副本，但是添加了原始令牌的 kid），而且我似乎无法使用为孩子创建的PEM密钥来验证生成的令牌。


我做后者的方法是这样（在主题上跟随 blog guide）：


转到 https://www.googleapis.com/service_accounts/v1/jwk/securetoken@system.gserviceaccount.com并获取相关孩子的模数（n）和指数（e）
使用lib（ rsa-pem-from-mod-exp）生成公共密钥
使用密钥验证是否使用 the 'official' jwt lib

上面的结果是这样的公钥：

----- BEGIN RSA公钥-----
MIIBCgKCAQEAxXpo7ChLMnv1QTovmm9DkAnYgINO1WFBWGAVRt93ajftPpVNcxMT
MAQI4Jf06OxFCQib94GyHxKDNOYiweVrHVYH9j / STF + xbQwiPF / 8L7 + haC2WXMl2
tkTgmslVewWuYwpfm4CoQFV29OVGWCqwEcbCaycWVddm1ykdryXzNTqfzCyrSZdZ
k0yoE0Q1GDcuUl / 6tjH1gAfzN6c8wPvI2YDhc5gIHm04BcLVVMBXnC0hxgjbJbN4
zg2QafiUpICZzonOUbK6 + rrIFGfHpcv8mWG1Awsu5qs33aFu1Qx / 4LdMAuEsvX9f
EmFZCUS8 + trilqJbcsd / AQ9eOZLAB0BdKwIDAQAB
-----结束RSA公钥-----


似乎有两件事是错误的。一种是密钥不同于我可以从私钥中提取的密钥。另一个是我从私钥中提取的内容具有以下注释：

-----BEGIN PUBLIC KEY-----
-----END PUBLIC KEY-----

没有“ RSA”。这有关系吗？无论如何，它不会验证。

最后，我是否完全误解了OpenID流？是否还需要我的私钥生成JWK来验证我的JWT？我是否应该在身份验证服务器上公开自己的JWK，以便其他服务代替Google来联系和使用？我对Firebase Admin SDK可以做什么和不可以做什么感到困惑，我认为:-)

我知道这有很多问题，但我认为它们都是相关的。

我在研究中依赖的一些资源（当然还有官方的sdk docs文档）：


jwt.io
Is it still possible to do server side verification of tokens in Firebase 3?
https://ncona.com/2015/02/consuming-a-google-id-token-from-a-server/
https://stackoverflow.com/a/42410233/1409779
https://andrewlock.net/a-look-behind-the-jwt-bearer-authentication-middleware-in-asp-net-core/

Answer 1

在使用自定义令牌对Firebase客户端SDK重新进行身份验证之后，客户端实际上会使用自定义令牌中的声明生成一个新的ID令牌。该ID令牌是您用来验证对不同微服务的请求（记录为here）的工具。因此，可以，您原来的ID令牌将被丢弃，但是会在其位置创建一个新的令牌。并且该ID令牌将每小时自动刷新一次。因此，只要需要，您就应该能够调用user.getToken()以获得有效的ID令牌。该方法代表您处理所有缓存。