Firebase Functionsのhttpsトリガーの関数を特定の人からしかできないように制限したい

はじめに

Firebase Functionsには様々なトリガーがありますが、httpsのendpointを公開してインターネットのどこからでもAPIのように利用することもできます。一方で、公開されたfunctionは単純に実装・公開した場合、全世界にフリーに公開している状態になりセキュリティー的に問題がある場合があります。ここでは、いくつかのアクセスを制限する方法を紹介していきます。

1. functions.https.onCallを利用する

The Cloud Functions for Firebase client SDKs let you call functions directly from a Firebase app. To call a function from your app in this way, write and deploy an HTTPS Callable function in Cloud Functions, and then add client logic to call the function from your app.

code: functionExample.js

exports.grantRole = functions.https.onCall(async (data, context) => {

const user = await admin.auth().getUser(context.auth.uid);

if (user.customClaims && user.customClaims.admin !== true) {

return false;

}

const email = data.email;

const result = await grantRole(email, 'admin');

return result;

});

https://gyazo.com/73c541832c2316847eb2a9521e8ccfc5

Functionsの一覧からはこのようにhttpリクエストの関数としてエンドポイントも公開されているため、このエンドポイントが万が一外部に流出した場合誰でもAPIを叩くことはできますが、上記の実装により正常系の処理をさせないことが可能になりました。

2. authorized-https-endpoint を利用する

This samples shows how to restrict an HTTPS Function to only the Firebase users of your app.Only users who pass a valid Firebase ID token as a Bearer token in the Authorization header of the HTTP request or in a __session cookie are authorized to use the function.

実装Sampleは公式の情報が一番わかり易いためそちらを参照してください。function内でexpressを利用するのでそこだけ気をつけてください。

3. authenticated-json-api を利用する

This sample shows how to authenticate access to a JSON API to only allow access to data for a specific Firebase user.Only users who pass a valid Firebase ID token as a Bearer token in the Authorization header of the HTTP request are authorized to use the API.

まとめ

ーションの場合は2,3あたりの手法の検討をしないといけません。

例えば、ESP32等のマイコンのモジュールからfunctionsの関数を叩きたいケースの場合、マイコンで利用する言語にはおそらくfirebaseのSDKは用意されていないので、1以外の方法をとる必要がでてきます。今回まさに私がそのケースでしたのでfunctionsのアクセス制限について調べました。

そもそも、関数内にベタ書きでアクセスを制限するようなロジックを書けば問題ないのですが、それだとさすがにダサいということで、ぜひみなさんもかっこよいfunctionsのコードを公式がおすすめする方法で書いてみてくださいね。