在可调用函数中使用自定义声明时是否需要调用 verifyIdToken()？ [复制]

Question

Custom Claims 上的文档说应该在每次调用时验证 ID 令牌，但 callable functions 的文档说令牌是自动验证的。

我假设自定义声明文档引用“不可调用”函数，但它仍然相当混乱。

如果令牌被自动验证，是否也像调用admin.auth().verifyIdToken(idToken, true) 时一样检查它们是否被撤销？

Answer 1

使用可自动验证身份验证令牌的可调用函数时，您不必自己验证令牌。 context.auth.token 是 DecodedIdToken 对象，其中包含所有用户的自定义声明。

// Saves a message to the Firebase Realtime Database but sanitizes the text by removing swearwords.
exports.addMessage = functions.https.onCall((data, context) => {
  if (!context.auth) {
    return { error: "No User" }
  }

  console.log(context.auth.token);
});