Authentifizieren Sie sich mit Apple auf Android

Sie können Ihren Benutzern die Authentifizierung bei Firebase mit ihrer Apple-ID ermöglichen, indem Sie das Firebase SDK verwenden, um den End-to-End-Anmeldevorgang mit OAuth 2.0 durchzuführen.

Bevor Sie beginnen

Um Benutzer mit Apple anzumelden, konfigurieren Sie zunächst „Mit Apple anmelden“ auf der Entwicklerseite von Apple und aktivieren Sie dann Apple als Anmeldeanbieter für Ihr Firebase-Projekt.

Treten Sie dem Apple Developer Program bei

„Mit Apple anmelden“ kann nur von Mitgliedern des Apple Developer Program konfiguriert werden.

Konfigurieren Sie die Anmeldung mit Apple

Gehen Sie auf der Apple Developer- Website wie folgt vor:

  1. Verknüpfen Sie Ihre Website mit Ihrer App, wie im ersten Abschnitt von Konfigurieren der Anmeldung mit Apple für das Web beschrieben. Wenn Sie dazu aufgefordert werden, registrieren Sie die folgende URL als Rückgabe-URL:

    https://YOUR_FIREBASE_PROJECT_ID.firebaseapp.com/__/auth/handler

    Sie können Ihre Firebase-Projekt-ID auf der Einstellungsseite der Firebase-Konsole abrufen.

    Wenn Sie fertig sind, notieren Sie sich Ihre neue Service-ID, die Sie im nächsten Abschnitt benötigen.

  2. Erstellen Sie eine Anmeldung mit dem privaten Apple-Schlüssel . Im nächsten Abschnitt benötigen Sie Ihren neuen privaten Schlüssel und Ihre Schlüssel-ID.
  3. Wenn Sie eine der Firebase-Authentifizierungsfunktionen verwenden, die E-Mails an Benutzer senden, einschließlich E-Mail-Link-Anmeldung, E-Mail-Adressüberprüfung, Widerruf von Kontoänderungen und andere, konfigurieren Sie den privaten E-Mail-Relay-Dienst von Apple und registrieren Sie noreply@ YOUR_FIREBASE_PROJECT_ID .firebaseapp.com (oder Ihre benutzerdefinierte E-Mail-Vorlagendomäne), damit Apple von der Firebase-Authentifizierung gesendete E-Mails an anonymisierte Apple-E-Mail-Adressen weiterleiten kann.

Aktivieren Sie Apple als Anmeldeanbieter

  1. Fügen Sie Firebase zu Ihrem Android-Projekt hinzu . Achten Sie darauf, die SHA-1-Signatur Ihrer App zu registrieren, wenn Sie Ihre App in der Firebase-Konsole einrichten.
  2. Öffnen Sie in der Firebase-Konsole den Abschnitt „Auth“ . Aktivieren Sie auf der Registerkarte Anmeldemethode den Apple- Anbieter. Geben Sie die Service-ID an, die Sie im vorherigen Abschnitt erstellt haben. Geben Sie außerdem im Abschnitt zur Konfiguration des OAuth-Codeflusses Ihre Apple-Team-ID sowie den privaten Schlüssel und die Schlüssel-ID an, die Sie im vorherigen Abschnitt erstellt haben.

Erfüllen Sie die Anforderungen von Apple an anonymisierte Daten

„Mit Apple anmelden“ bietet Benutzern die Möglichkeit, ihre Daten, einschließlich ihrer E-Mail-Adresse, bei der Anmeldung zu anonymisieren. Benutzer, die diese Option wählen, verfügen über E-Mail-Adressen mit der Domäne privaterelay.appleid.com . Wenn Sie „Mit Apple anmelden“ in Ihrer App verwenden, müssen Sie alle geltenden Entwicklerrichtlinien oder Bedingungen von Apple in Bezug auf diese anonymisierten Apple-IDs einhalten.

Dazu gehört auch die Einholung der erforderlichen Einwilligung des Nutzers, bevor Sie direkt identifizierende personenbezogene Daten mit einer anonymisierten Apple-ID verknüpfen. Bei Verwendung der Firebase-Authentifizierung kann dies die folgenden Aktionen umfassen:

  • Verknüpfen Sie eine E-Mail-Adresse mit einer anonymisierten Apple-ID oder umgekehrt.
  • Verknüpfen Sie eine Telefonnummer mit einer anonymisierten Apple-ID oder umgekehrt
  • Verknüpfen Sie nicht anonyme soziale Anmeldeinformationen (Facebook, Google usw.) mit einer anonymisierten Apple-ID oder umgekehrt.

Die obige Liste ist nicht vollständig. Sehen Sie sich die Apple Developer Program-Lizenzvereinbarung im Abschnitt „Mitgliedschaft“ Ihres Entwicklerkontos an, um sicherzustellen, dass Ihre App die Anforderungen von Apple erfüllt.

Behandeln Sie den Anmeldevorgang mit dem Firebase SDK

Unter Android besteht die einfachste Möglichkeit zur Authentifizierung Ihrer Benutzer bei Firebase mithilfe ihrer Apple-Konten darin, den gesamten Anmeldevorgang mit dem Firebase Android SDK abzuwickeln.

Führen Sie die folgenden Schritte aus, um den Anmeldevorgang mit dem Firebase Android SDK zu verwalten:

  1. Erstellen Sie eine Instanz eines OAuthProvider mithilfe seines Builders mit der Anbieter-ID apple.com :

    Kotlin+KTX

    val provider = OAuthProvider.newBuilder("apple.com")
    

    Java

    OAuthProvider.Builder provider = OAuthProvider.newBuilder("apple.com");
    
  2. Optional: Geben Sie über den Standard hinaus zusätzliche OAuth 2.0-Bereiche an, die Sie vom Authentifizierungsanbieter anfordern möchten.

    Kotlin+KTX

    provider.setScopes(arrayOf("email", "name"))
    

    Java

    List<String> scopes =
        new ArrayList<String>() {
          {
            add("email");
            add("name");
          }
        };
    provider.setScopes(scopes);
    

    Wenn „Ein Konto pro E-Mail-Adresse“ aktiviert ist, fordert Firebase standardmäßig E-Mail- und Namensbereiche an. Wenn Sie diese Einstellung in „Mehrere Konten pro E-Mail-Adresse“ ändern, fordert Firebase keine Bereiche von Apple an, es sei denn, Sie geben diese an.

  3. Optional: Wenn Sie den Anmeldebildschirm von Apple in einer anderen Sprache als Englisch anzeigen möchten, legen Sie den Parameter locale fest. Informationen zu den unterstützten Gebietsschemas finden Sie in der Dokumentation „Mit Apple anmelden“ .

    Kotlin+KTX

    // Localize the Apple authentication screen in French.
    provider.addCustomParameter("locale", "fr")
    

    Java

    // Localize the Apple authentication screen in French.
    provider.addCustomParameter("locale", "fr");
    
  4. Authentifizieren Sie sich bei Firebase mithilfe des OAuth-Anbieterobjekts. Beachten Sie, dass dies im Gegensatz zu anderen FirebaseAuth Vorgängen die Kontrolle über Ihre Benutzeroberfläche übernimmt, indem ein benutzerdefinierter Chrome-Tab geöffnet wird. Verweisen Sie daher nicht auf Ihre Aktivität im OnSuccessListener und OnFailureListener , die Sie anhängen, da diese sofort getrennt werden, wenn der Vorgang die Benutzeroberfläche startet.

    Sie sollten zunächst prüfen, ob Sie bereits eine Antwort erhalten haben. Wenn Sie sich mit dieser Methode anmelden, wird Ihre Aktivität in den Hintergrund verschoben, was bedeutet, dass sie während des Anmeldevorgangs vom System wiederhergestellt werden kann. Um sicherzustellen, dass Sie den Benutzer in diesem Fall nicht dazu zwingen, es noch einmal zu versuchen, sollten Sie prüfen, ob bereits ein Ergebnis vorliegt.

    Um zu überprüfen, ob ein Ergebnis aussteht, rufen Sie getPendingAuthResult() auf:

    Kotlin+KTX

    val pending = auth.pendingAuthResult
    if (pending != null) {
        pending.addOnSuccessListener { authResult ->
            Log.d(TAG, "checkPending:onSuccess:$authResult")
            // Get the user profile with authResult.getUser() and
            // authResult.getAdditionalUserInfo(), and the ID
            // token from Apple with authResult.getCredential().
        }.addOnFailureListener { e ->
            Log.w(TAG, "checkPending:onFailure", e)
        }
    } else {
        Log.d(TAG, "pending: null")
    }
    

    Java

    mAuth = FirebaseAuth.getInstance();
    Task<AuthResult> pending = mAuth.getPendingAuthResult();
    if (pending != null) {
        pending.addOnSuccessListener(new OnSuccessListener<AuthResult>() {
            @Override
            public void onSuccess(AuthResult authResult) {
                Log.d(TAG, "checkPending:onSuccess:" + authResult);
                // Get the user profile with authResult.getUser() and
                // authResult.getAdditionalUserInfo(), and the ID
                // token from Apple with authResult.getCredential().
            }
        }).addOnFailureListener(new OnFailureListener() {
            @Override
            public void onFailure(@NonNull Exception e) {
                Log.w(TAG, "checkPending:onFailure", e);
            }
        });
    } else {
        Log.d(TAG, "pending: null");
    }
    

    Wenn kein Ergebnis aussteht, starten Sie den Anmeldevorgang, indem Sie startActivityForSignInWithProvider() aufrufen:

    Kotlin+KTX

    auth.startActivityForSignInWithProvider(this, provider.build())
            .addOnSuccessListener { authResult ->
                // Sign-in successful!
                Log.d(TAG, "activitySignIn:onSuccess:${authResult.user}")
                val user = authResult.user
                // ...
            }
            .addOnFailureListener { e ->
                Log.w(TAG, "activitySignIn:onFailure", e)
            }
    

    Java

    mAuth.startActivityForSignInWithProvider(this, provider.build())
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // Sign-in successful!
                            Log.d(TAG, "activitySignIn:onSuccess:" + authResult.getUser());
                            FirebaseUser user = authResult.getUser();
                            // ...
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            Log.w(TAG, "activitySignIn:onFailure", e);
                        }
                    });
    

    Im Gegensatz zu anderen von Firebase Auth unterstützten Anbietern stellt Apple keine Foto-URL bereit.

    Wenn sich der Benutzer außerdem dafür entscheidet, seine E-Mail-Adresse nicht mit der App zu teilen, stellt Apple diesem Benutzer eine eindeutige E-Mail-Adresse (in der Form xyz@privaterelay.appleid.com ) zur Verfügung, die es mit Ihrer App teilt. Wenn Sie den privaten E-Mail-Relay-Dienst konfiguriert haben, leitet Apple an die anonymisierte Adresse gesendete E-Mails an die echte E-Mail-Adresse des Benutzers weiter.

    Apple gibt Benutzerinformationen wie den Anzeigenamen nur dann an Apps weiter, wenn sich ein Benutzer zum ersten Mal anmeldet. Normalerweise speichert Firebase den Anzeigenamen, wenn sich ein Benutzer zum ersten Mal bei Apple anmeldet, den Sie mit getCurrentUser().getDisplayName() abrufen können. Wenn Sie jedoch zuvor Apple verwendet haben, um einen Benutzer bei der App anzumelden, ohne Firebase zu verwenden, stellt Apple Firebase den Anzeigenamen des Benutzers nicht zur Verfügung.

Erneute Authentifizierung und Kontoverknüpfung

Das gleiche Muster kann mit startActivityForReauthenticateWithProvider() verwendet werden, mit dem Sie neue Anmeldeinformationen für vertrauliche Vorgänge abrufen können, die eine kürzliche Anmeldung erfordern:

Kotlin+KTX

// The user is already signed-in.
val firebaseUser = auth.getCurrentUser()

firebaseUser
    .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
    .addOnSuccessListener( authResult -> {
        // User is re-authenticated with fresh tokens and
        // should be able to perform sensitive operations
        // like account deletion and email or password
        // update.
    })
    .addOnFailureListener( e -> {
        // Handle failure.
    })

Java

// The user is already signed-in.
FirebaseUser firebaseUser = mAuth.getCurrentUser();

firebaseUser
    .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
    .addOnSuccessListener(
        new OnSuccessListener<AuthResult>() {
          @Override
          public void onSuccess(AuthResult authResult) {
            // User is re-authenticated with fresh tokens and
            // should be able to perform sensitive operations
            // like account deletion and email or password
            // update.
          }
        })
    .addOnFailureListener(
        new OnFailureListener() {
          @Override
          public void onFailure(@NonNull Exception e) {
            // Handle failure.
          }
        });

Und Sie können linkWithCredential() verwenden, um verschiedene Identitätsanbieter mit vorhandenen Konten zu verknüpfen.

Beachten Sie, dass Apple verlangt, dass Sie die ausdrückliche Zustimmung der Benutzer einholen, bevor Sie deren Apple-Konten mit anderen Daten verknüpfen.

Um beispielsweise ein Facebook-Konto mit dem aktuellen Firebase-Konto zu verknüpfen, verwenden Sie das Zugriffstoken, das Sie durch die Anmeldung des Benutzers bei Facebook erhalten haben:

Kotlin+KTX

// Initialize a Facebook credential with a Facebook access token.
val credential = FacebookAuthProvider.getCredential(token.getToken())

// Assuming the current user is an Apple user linking a Facebook provider.
mAuth.getCurrentUser().linkWithCredential(credential)
    .addOnCompleteListener(this, task -> {
        if (task.isSuccessful()) {
          // Facebook credential is linked to the current Apple user.
          // The user can now sign in to the same account
          // with either Apple or Facebook.
        }
      });

Java

// Initialize a Facebook credential with a Facebook access token.
AuthCredential credential = FacebookAuthProvider.getCredential(token.getToken());

// Assuming the current user is an Apple user linking a Facebook provider.
mAuth.getCurrentUser().linkWithCredential(credential)
    .addOnCompleteListener(this, new OnCompleteListener<AuthResult>() {
      @Override
      public void onComplete(@NonNull Task<AuthResult> task) {
        if (task.isSuccessful()) {
          // Facebook credential is linked to the current Apple user.
          // The user can now sign in to the same account
          // with either Apple or Facebook.
        }
      }
    });

Erweitert: Behandeln Sie den Anmeldevorgang manuell

Sie können sich auch mit einem Apple-Konto bei Firebase authentifizieren, indem Sie den Anmeldevorgang entweder mit dem Apple Sign-In JS SDK, manueller Erstellung des OAuth-Ablaufs oder mithilfe einer OAuth-Bibliothek wie AppAuth verwalten.

  1. Generieren Sie für jede Anmeldeanfrage eine zufällige Zeichenfolge – eine „Nonce“ –, mit der Sie sicherstellen, dass das ID-Token, das Sie erhalten, speziell als Reaktion auf die Authentifizierungsanfrage Ihrer App gewährt wurde. Dieser Schritt ist wichtig, um Wiederholungsangriffe zu verhindern.

    Sie können mit SecureRandom eine kryptografisch sichere Nonce auf Android generieren, wie im folgenden Beispiel:

    Kotlin+KTX

    private fun generateNonce(length: Int): String {
        val generator = SecureRandom()
    
        val charsetDecoder = StandardCharsets.US_ASCII.newDecoder()
        charsetDecoder.onUnmappableCharacter(CodingErrorAction.IGNORE)
        charsetDecoder.onMalformedInput(CodingErrorAction.IGNORE)
    
        val bytes = ByteArray(length)
        val inBuffer = ByteBuffer.wrap(bytes)
        val outBuffer = CharBuffer.allocate(length)
        while (outBuffer.hasRemaining()) {
            generator.nextBytes(bytes)
            inBuffer.rewind()
            charsetDecoder.reset()
            charsetDecoder.decode(inBuffer, outBuffer, false)
        }
        outBuffer.flip()
        return outBuffer.toString()
    }
    

    Java

    private String generateNonce(int length) {
        SecureRandom generator = new SecureRandom();
    
        CharsetDecoder charsetDecoder = StandardCharsets.US_ASCII.newDecoder();
        charsetDecoder.onUnmappableCharacter(CodingErrorAction.IGNORE);
        charsetDecoder.onMalformedInput(CodingErrorAction.IGNORE);
    
        byte[] bytes = new byte[length];
        ByteBuffer inBuffer = ByteBuffer.wrap(bytes);
        CharBuffer outBuffer = CharBuffer.allocate(length);
        while (outBuffer.hasRemaining()) {
            generator.nextBytes(bytes);
            inBuffer.rewind();
            charsetDecoder.reset();
            charsetDecoder.decode(inBuffer, outBuffer, false);
        }
        outBuffer.flip();
        return outBuffer.toString();
    }
    

    Dann erhalten Sie den SHA246-Hash der Nonce als Hex-String:

    Kotlin+KTX

    private fun sha256(s: String): String {
        val md = MessageDigest.getInstance("SHA-256")
        val digest = md.digest(s.toByteArray())
        val hash = StringBuilder()
        for (c in digest) {
            hash.append(String.format("%02x", c))
        }
        return hash.toString()
    }
    

    Java

    private String sha256(String s) throws NoSuchAlgorithmException {
        MessageDigest md = MessageDigest.getInstance("SHA-256");
        byte[] digest = md.digest(s.getBytes());
        StringBuilder hash = new StringBuilder();
        for (byte c: digest) {
            hash.append(String.format("%02x", c));
        }
        return hash.toString();
    }
    

    Sie senden den SHA256-Hash der Nonce mit Ihrer Anmeldeanfrage, den Apple unverändert in der Antwort weitergibt. Firebase validiert die Antwort, indem es die ursprüngliche Nonce hasht und sie mit dem von Apple übergebenen Wert vergleicht.

  2. Starten Sie den Anmeldevorgang von Apple mithilfe Ihrer OAuth-Bibliothek oder einer anderen Methode. Stellen Sie sicher, dass Sie die gehashte Nonce als Parameter in Ihre Anfrage aufnehmen.

  3. Nachdem Sie die Antwort von Apple erhalten haben, rufen Sie das ID-Token aus der Antwort ab und verwenden Sie es und die nicht gehashte Nonce, um ein AuthCredential zu erstellen:

    Kotlin+KTX

    val credential =  OAuthProvider.newCredentialBuilder("apple.com")
        .setIdTokenWithRawNonce(appleIdToken, rawUnhashedNonce)
        .build()
    

    Java

    AuthCredential credential =  OAuthProvider.newCredentialBuilder("apple.com")
        .setIdTokenWithRawNonce(appleIdToken, rawUnhashedNonce)
        .build();
    
  4. Authentifizieren Sie sich bei Firebase mit den Firebase-Anmeldeinformationen:

    Kotlin+KTX

    auth.signInWithCredential(credential)
          .addOnCompleteListener(this) { task ->
              if (task.isSuccessful) {
                // User successfully signed in with Apple ID token.
                // ...
              }
          }
    

    Java

    mAuth.signInWithCredential(credential)
        .addOnCompleteListener(this, new OnCompleteListener<AuthResult>() {
          @Override
          public void onComplete(@NonNull Task<AuthResult> task) {
            if (task.isSuccessful()) {
              // User successfully signed in with Apple ID token.
              // ...
            }
          }
        });
    

Wenn der Aufruf von signInWithCredential erfolgreich ist, können Sie die Methode getCurrentUser verwenden, um die Kontodaten des Benutzers abzurufen.

Token-Widerruf

Apple verlangt, dass Apps, die die Kontoerstellung unterstützen, Benutzern die Löschung ihres Kontos innerhalb der App ermöglichen müssen, wie in den App Store Review Guidelines beschrieben

Darüber hinaus sollten Apps, die „Mit Apple anmelden“ unterstützen, die REST-API „Mit Apple anmelden“ verwenden, um Benutzertokens zu widerrufen.

Um diese Anforderung zu erfüllen, führen Sie die folgenden Schritte aus:

  1. Verwenden Sie die Methode startActivityForSignInWithProvider() , um sich mit Apple anzumelden und AuthResult abzurufen.

  2. Besorgen Sie sich das Zugriffstoken für den Apple-Anbieter.

    Kotlin+KTX

    val oauthCredential: OAuthCredential =  authResult.credential
    val accessToken = oauthCredential.accessToken
    

    Java

    OAuthCredential oauthCredential = (OAuthCredential) authResult.getCredential();
    String accessToken = oauthCredential.getAccessToken();
    
  3. Widerrufen Sie das Token mit der revokeAccessToken -API.

    Kotlin+KTX

    mAuth.revokeAccessToken(accessToken)
      .addOnCompleteListener(this) { task ->
        if (task.isSuccessful) {
          // Access token successfully revoked
          // for the user ...
        }
    }
    

    Java

    mAuth.revokeAccessToken(accessToken)
        .addOnCompleteListener(this, new OnCompleteListener<Void>() {
            @Override
            public void onComplete(@NonNull Task<Void> task) {
              if (task.isSuccessful()) {
                // Access token successfully revoked
                // for the user ...
              }
            }
      });
    
  1. Löschen Sie abschließend das Benutzerkonto (und alle zugehörigen Daten).

    Nächste Schritte

    Nachdem sich ein Benutzer zum ersten Mal angemeldet hat, wird ein neues Benutzerkonto erstellt und mit den Anmeldeinformationen – also dem Benutzernamen und dem Kennwort, der Telefonnummer oder den Informationen zum Authentifizierungsanbieter – verknüpft, mit denen sich der Benutzer angemeldet hat. Dieses neue Konto wird als Teil Ihres Firebase-Projekts gespeichert und kann zur Identifizierung eines Benutzers in jeder App in Ihrem Projekt verwendet werden, unabhängig davon, wie sich der Benutzer anmeldet.

    • In Ihren Apps können Sie die grundlegenden Profilinformationen des Benutzers aus dem FirebaseUser Objekt abrufen. Siehe Benutzer verwalten .

    • In Ihren Firebase-Echtzeitdatenbank- und Cloud-Speicher- Sicherheitsregeln können Sie die eindeutige Benutzer-ID des angemeldeten Benutzers aus der auth abrufen und damit steuern, auf welche Daten ein Benutzer zugreifen kann.

    Sie können Benutzern die Anmeldung bei Ihrer App mit mehreren Authentifizierungsanbietern ermöglichen, indem Sie die Anmeldeinformationen des Authentifizierungsanbieters mit einem vorhandenen Benutzerkonto verknüpfen.

    Um einen Benutzer abzumelden, rufen Sie signOut auf:

    Kotlin+KTX

    Firebase.auth.signOut()

    Java

    FirebaseAuth.getInstance().signOut();