Firebase Authentication のトークンを使ってバックエンドとフロントエンドの間の認証を行う

Firebase Authentication のトークンを使ってバックエンドとフロントエンドの間の認証を行う実装について。

以前はバックエンドとフロントエンドの間の認証はセッションを使ったのだが、今回はセッションを使わず、認証が必要な通信の際に毎回トークンを送信して認証するようにした。

その実装について記載する。

参考

フロント(React)

※Firebase の初期化を行う下記コンポーネントを import している。 https://gitlab.com/k1350/amicroblog/-/blob/main/react/amicroblog/src/Auth.js

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

import React, { useState } from "react";
import "./App.css";
import { app } from './firebase';
import { getAuth, onAuthStateChanged, signOut } from "firebase/auth";

function Form() {
  const [text, setText] = useState("");

  const handleChange = (event) => {
    // 中略
  };

  const XHR = new XMLHttpRequest();
  XHR.addEventListener("load", function (event) {
    setText('');
  });

  XHR.addEventListener("error", function (event) {
    alert('エラーが発生しました');
  });

  const handleSubmit = (event) => {
    event.preventDefault();

    if (text === '') {
      return;
    }

    const auth = getAuth();
    var unsubscribe = onAuthStateChanged(auth, (user) => {
      if (user) {
        user.getIdToken(true).then(function(idToken) {
          const FD = new FormData(document.getElementById('input-form'));
          XHR.open("POST", process.env.REACT_APP_API_BASE_URL + '/input');
          XHR.setRequestHeader('Authorization', 'Bearer ' + idToken);
          XHR.send(FD);
        }).catch(function(error) {
          alert(error);
        });
      }
    })
    unsubscribe();
  };

{/*  以下省略 */}

ハイライト部分が今回実装した部分。

毎回入力データを送信する前にカレントユーザーの idToken を取得し、それを Authorization ヘッダにセットしている。

ログイン後にトークンを一度取得して localStorage に保存するという手法もあると思うのだが、以前それについて色々調べた結果「フロントエンドにトークンを安全に保存しておける場所は無いのではないか?」という考えに至ったので、毎回取得することにした。

バックエンド(Go)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87

package main

import (
	"bytes"
	"context"
	"encoding/json"
	"fmt"
	"log"
	"net/http"
	"strings"
	"time"

	"cloud.google.com/go/firestore"
	firebase "firebase.google.com/go"
	auth "firebase.google.com/go/auth"
	"github.com/pkg/errors"

	ae "github.com/k1350/amicroblog/internal/errors"
	"github.com/k1350/amicroblog/internal/repository"
)

var (
	client *firestore.Client
	ac     *auth.Client
	jst    *time.Location
)

// 中略

func inputHaldler(w http.ResponseWriter, r *http.Request) {
	if r.Method == "POST" {
		h := r.Header["Authorization"]
		idToken := strings.Split(h[0], " ")

		ctx := context.Background()
		_, err := ac.VerifyIDToken(ctx, idToken[1])
		if err != nil {
			w.WriteHeader(http.StatusUnauthorized)
			return
		}

		err = input(w, r)
		if err != nil {
			w.WriteHeader(http.StatusInternalServerError)
			log.Printf("%+v", err)
			return
		}
		w.WriteHeader(http.StatusOK)
	} else {
		w.WriteHeader(http.StatusMethodNotAllowed)
	}
}

func input(w http.ResponseWriter, r *http.Request) error {
	err := r.ParseMultipartForm(1024 * 5)
	if err != nil {
		return errors.WithStack(errors.WithMessage(ae.ParseError, err.Error()))
	}
	return repository.Add(r.MultipartForm.Value["text"][0], client)
}

func main() {
	var err error
	time.Local = time.FixedZone("Local", 9*60*60)
	jst, err = time.LoadLocation("Local")
	if err != nil {
		panic(err)
	}
	ctx := context.Background()
	app, err := firebase.NewApp(ctx, nil)
	if err != nil {
		panic(err)
	}
	client, err = app.Firestore(ctx)
	if err != nil {
		panic(err)
	}
	ac, err = app.Auth(ctx)
	if err != nil {
		panic(err)
	}
	defer client.Close()

	http.HandleFunc("/", rootHandler)
	http.HandleFunc("/input", inputHaldler)
	http.ListenAndServe(":8000", nil)
}

ハイライト部分が今回実装した部分で、詰まった点としては 15 行目を追加しないと 24 行目で auth が見つからないというエラーになった。

app.Auth() の戻り値を定数として保持しておかない場合(=自分で型を明示しておく必要がない場合)は 15 行目は書かなくてもいい。

今回の機能要件としてはユーザーはブログの管理人一人だけであり、そのユーザーは Firebase コンソールから作成する。フロントにユーザー作成機能は搭載しない。
そのため送信されてきたトークンが正しいトークンであるならば、それはブログ管理人からのリクエストであるとして以降の処理を行うようにしている。Firestore の書きこみ権限は AdminSDK のみ有効としているのでユーザー情報は特に使用しない。

省略していない実装結果は下記にアップロードした。

https://gitlab.com/k1350/amicroblog/-/tree/858e43e7e55b1d64f5c232571a71c27e938e5c23

以上