Discussion :

[Spiritkill]

Bonjour,
Je ne sais pas si je poste sur le bon forum, mais je n'en ai pas trouvé qui se rapprochent plus.

J'ai un projet depuis peu mais je n'arrive pas à trouver la bonne méthode (architecture, scripts) pour identifier mon utilisateur dans mon programme Pyhon avec Firebase.

Voici mon projet :
Je veux que chaque client ait accès à une interface web (NodeJS déployé sur Google Host) permettant d'afficher des informations stockées en base de données sécurisé par utilisateur (Firestore de Firebase).
Ces informations seront mises à jour depuis des Raspberry (une par client) qui sera connectée à son réseau local avec un accès à internet.

L'authentification est une simple connexion via email et mot de passe.
Pour que cela soit bien sécurisé, il faudrait que la raspberry se connecte via email et mot de passe du client afin d'hériter de ses droits.

Pour la partie Site Web en NodeJS et déploiement sur Google Host, pas de problème.

Pour la partie Python et connexion Firebase c'est une autre histoire, j'ai lu beaucoup d'articles et vu pas mal de vidéo avec plein de solutions mais je n'arrive pas à comprendre les mécanismes d'authentification :

Avec Firebase Admin SDK :
* Soit c'est une authentification par compte de service, pas top au niveau sécurité en mettant les clés privés sur une raspberry chez un client
* Soit via un token utilisateur mais je n'ai pas trouvé le script qui va bien. De plus comment transmettre le token à ma Raspberry de façon simple et sécurisé ?

Avec Pyrebase :
Parfait car authentification via l'email et mot de passe utilisateur par contre ne supporte que Database et pas Firestore

Avec google-cloud-firestore :
Je ne comprends pas comment authentifier mon utilisateur.

Pourriez vous m'aider dans l'architecture et le paramétrage de ce projet ?

Je vous remercie d'avance,
Spiritkill

[mathieu]

pour faire cela, je pense que vous pouvez déjà garder le site en nodejs qui se connecte à la base de données.
par contre les raspberry n'auront pas les codes de la base de données mais enverront les données à une API de votre site. ainsi ça sera votre application en nodejs qui contrôlera tout ce qu'il se passe avec la base de données.

est ce que vos client ont un intérêt à falsifier les données envoyées par les raspberry ?

[Spiritkill]

Bonjour,
Merci pour votre réponse.
Pour le site NodeJS je comptais bien le garder.

Par contre pour les API c'est une bonne idée, cependant comment passer l'information qu'il s'agisse du client A et pas du B pour que les données soient stockées ou récupérées depuis le bon endroit par rapport au client ?

Les données d'un client ne sont pas confidentielles pour lui et il n'y a pas d'importance s'il les falsifie. Par contre il ne doit pas avoir accès au données des autres clients.

[mathieu]

il suffit que le raspberry envoie l'identifiant client en même temps que les données.

après, il reste un risque que le client bricole ce numéro et envoie les données vers un autre client. donc cela peut être protégé en utilisant une chaine de caractères aléatoires unique pour chaque client.

[Spiritkill]

Merci pour la réponse.
J'avais effectivement pensé au UID de l'utilisateur enregistré qui est unique.

Merci pour les réponses.
Je vais pouvoir avancer et tester ces points.

[Spiritkill]

Bonjour,
Je reviens sur ce sujet après avoir testé la partie fonction de Firebase.
Dans mon contexte j'ai 2 points qui ne me satisfont pas :
1 - Je dois activé la facturation sur mon projet
2 - Mon programme PI va devoir aussi lire des données dans Firestore hors en mode fonction je doit l'appeler régulièrement afin d'être à jour (ce qui me ferait potentiellement dépasser les quota gratuit).

Pour palier à ce 2eme point il faut utiliser un listener via "on_snapshot" afin que le décompte de quota ne se fasse seulement à mise à jour d'un document.
Pour cela il faut utiliser Firebase Admin SDK. https://firebase.google.com/docs/fir...ry-data/listen

Je vois clairement comment me connecter avec un compte de service qui donne tous les droits, cependant je ne vois pas comment se connecter en tant qu'utilisateur afin d'hériter de la restriction de droit (règles de Firestore) de cet utilisateur. Je souhaiterais pouvoir me connecter soit avec l'email/mot de passe soit avec le token de l'utilisateur que je pourrais récupérer d'une autre manière.

Si quelqu'un a une idée, je suis preneur.

Merci

[mathieu]

Mon programme PI va devoir aussi lire des données dans Firestore

donc le programme sur les pi ne passeront pas par votre site ?

[Spiritkill]

Non le site sera sur Google Host.
Le programme Python sera chez chaque client sur un RPI qui devrait se connecter comme un client classique pour accéder au Firestore du Projet sur Google.

Je suis parti sur Python parce qu'il existe des API pour contrôler les entrées/sorties de la RPI. Je peux peut être monter un site web sur la Raspberry pour faire la connexion à Firebase et ensuite je pilote les entrées/sorties de la Raspberry en backend mais j'avoue que je n'ai jamais fait ça sans Python.

Merci