Các bước triển khai

1. Lưu role trong Firebase hoặc Database
2. Xác minh idToken từ Firebase để lấy UID
3. Lấy role từ: Trường customClaims trong Firebase Auth, hoặc Bảng users trong MySQL
4. Middleware kiểm tra quyền → cho phép/không cho phép

Option: Gắn role bằng Firebase custom claims (dễ tích hợp)

Gán role từ Firebase Admin SDK (chạy 1 lần):

// scripts/set-role.js (chạy riêng)
const admin = require('../firebase/firebase.config');

admin.auth().setCustomUserClaims('<firebase-uid>', { role: 'ADMIN' })
  .then(() => console.log('Role set successfully'))
  .catch(console.error);

1. Cập nhật authMiddleware để đọc role

const admin = require('../firebase/firebase.config');

const authMiddleware = async (req, res, next) => {
  const authHeader = req.headers.authorization;
  if (!authHeader || !authHeader.startsWith('Bearer ')) {
    return res.status(401).json({ error: 'Authorization header missing or malformed' });
  }

  const idToken = authHeader.split('Bearer ')[1];

  try {
    const decodedToken = await admin.auth().verifyIdToken(idToken);

    req.user = {
      uid: decodedToken.uid,
      email: decodedToken.email,
      name: decodedToken.name,
      picture: decodedToken.picture,
      role: decodedToken.role || 'CUSTOMER' // default if not set
    };

    next();
  } catch (err) {
    return res.status(401).json({ error: 'Invalid or expired token' });
  }
};

module.exports = authMiddleware;

2. Tạo Middleware kiểm tra vai trò

Trong file middlewares/role.middleware.js

const allowRoles = (...allowedRoles) => {
  return (req, res, next) => {
    const userRole = req.user?.role;
    if (!userRole || !allowedRoles.includes(userRole)) {
      return res.status(403).json({ error: 'Access denied: insufficient permissions' });
    }
    next();
  };
};

module.exports = allowRoles;

3. Sử dụng trong routes

const express = require('express');
const router = express.Router();
const authMiddleware = require('../middlewares/auth.middleware');
const allowRoles = require('../middlewares/role.middleware');

router.get(
  '/dashboard',
  authMiddleware,
  allowRoles('ADMIN', 'SYSADMIN'),  // chỉ cho admin và sysadmin
  (req, res) => {
    res.json({ message: 'Welcome to admin dashboard' });
  }
);

router.get(
  '/sys-only',
  authMiddleware,
  allowRoles('SYSADMIN'),  // chỉ sysadmin mới vào được
  (req, res) => {
    res.json({ message: 'Welcome, sysadmin' });
  }
);

module.exports = router;

Qua bài viết này, chung ta cơ bản đã tạo được phân quyền cho hệ thống.

Nhiên.