Vous pouvez permettre à vos utilisateurs de s'authentifier auprès de Firebase à l'aide de leur identifiant Apple en utilisant le SDK Firebase pour effectuer le flux de connexion OAuth 2.0 de bout en bout.
Avant que tu commences
Pour connecter des utilisateurs à l'aide d'Apple, configurez d'abord la connexion avec Apple sur le site des développeurs d'Apple, puis activez Apple en tant que fournisseur de connexion pour votre projet Firebase.
Rejoignez le programme pour développeurs Apple
La connexion avec Apple ne peut être configurée que par les membres du programme pour développeurs Apple .
Configurer la connexion avec Apple
Sur le site des développeurs Apple , procédez comme suit :
Associez votre site Web à votre application comme décrit dans la première section de Configurer la connexion avec Apple pour le Web . Lorsque vous y êtes invité, enregistrez l'URL suivante en tant qu'URL de retour :
https://YOUR_FIREBASE_PROJECT_ID.firebaseapp.com/__/auth/handler
Vous pouvez obtenir votre ID de projet Firebase sur la page des paramètres de la console Firebase .
Lorsque vous avez terminé, prenez note de votre nouvel ID de service, dont vous aurez besoin dans la section suivante.
- Créez une connexion avec la clé privée Apple . Vous aurez besoin de votre nouvelle clé privée et de votre identifiant de clé dans la section suivante.
Si vous utilisez l'une des fonctionnalités de Firebase Authentication qui envoie des e-mails aux utilisateurs, notamment la connexion par lien e-mail, la vérification de l'adresse e-mail, la révocation des modifications de compte, etc., configurez le service de relais de messagerie privé Apple et enregistrez
noreply@ YOUR_FIREBASE_PROJECT_ID .firebaseapp.com(ou votre domaine de modèle d'e-mail personnalisé) afin qu'Apple puisse relayer les e-mails envoyés par Firebase Authentication vers des adresses e-mail Apple anonymisées.
Activer Apple en tant que fournisseur de connexion
- Ajoutez Firebase à votre projet Android . Assurez-vous d'enregistrer la signature SHA-1 de votre application lorsque vous configurez votre application dans la console Firebase.
- Dans la console Firebase , ouvrez la section Auth . Dans l'onglet Méthode de connexion , activez le fournisseur Apple . Spécifiez l'ID de service que vous avez créé dans la section précédente. De plus, dans la section Configuration du flux de code OAuth , spécifiez votre identifiant d'équipe Apple ainsi que la clé privée et l'ID de clé que vous avez créés dans la section précédente.
Se conformer aux exigences d'Apple en matière de données anonymisées
Se connecter avec Apple donne aux utilisateurs la possibilité d'anonymiser leurs données, y compris leur adresse e-mail, lors de la connexion. Les utilisateurs qui choisissent cette option ont des adresses e-mail avec le domaine privaterelay.appleid.com . Lorsque vous utilisez la connexion avec Apple dans votre application, vous devez vous conformer à toutes les politiques de développement ou conditions applicables d'Apple concernant ces identifiants Apple anonymisés.
Cela inclut l'obtention de tout consentement requis de l'utilisateur avant d'associer des informations personnelles d'identification directe à un identifiant Apple anonymisé. Lors de l'utilisation de l'authentification Firebase, cela peut inclure les actions suivantes :
- Associez une adresse e-mail à un identifiant Apple anonymisé ou vice versa.
- Associer un numéro de téléphone à un identifiant Apple anonymisé ou vice versa
- Associez un identifiant social non anonyme (Facebook, Google, etc.) à un identifiant Apple anonymisé ou vice versa.
La liste ci-dessus n'est pas exhaustive. Reportez-vous au contrat de licence du programme pour développeurs Apple dans la section Adhésion de votre compte développeur pour vous assurer que votre application répond aux exigences d'Apple.
Gérer le flux de connexion avec le SDK Firebase
Sur Android, le moyen le plus simple d'authentifier vos utilisateurs auprès de Firebase à l'aide de leurs comptes Apple consiste à gérer l'intégralité du flux de connexion avec le SDK Firebase Android.
Pour gérer le flux de connexion avec le SDK Firebase Android, procédez comme suit :
Construisez une instance d'un
OAuthProviderà l'aide de son Builder avec l'ID de fournisseurapple.com:Kotlin+KTX
val provider = OAuthProvider.newBuilder("apple.com")Java
OAuthProvider.Builder provider = OAuthProvider.newBuilder("apple.com");Facultatif : Spécifiez des étendues OAuth 2.0 supplémentaires au-delà de la valeur par défaut que vous souhaitez demander au fournisseur d'authentification.
Kotlin+KTX
provider.setScopes(arrayOf("email", "name"))Java
List<String> scopes = new ArrayList<String>() { { add("email"); add("name"); } }; provider.setScopes(scopes);Par défaut, lorsque l'option Un compte par adresse e-mail est activée, Firebase demande les étendues d'adresse e-mail et de nom. Si vous modifiez ce paramètre sur Plusieurs comptes par adresse e-mail , Firebase ne demande aucune étendue à Apple, sauf si vous les spécifiez.
Facultatif : si vous souhaitez afficher l'écran de connexion d'Apple dans une langue autre que l'anglais, définissez le paramètre
locale. Consultez la documentation Se connecter avec Apple pour connaître les paramètres régionaux pris en charge.Kotlin+KTX
// Localize the Apple authentication screen in French. provider.addCustomParameter("locale", "fr")Java
// Localize the Apple authentication screen in French. provider.addCustomParameter("locale", "fr");Authentifiez-vous auprès de Firebase à l'aide de l'objet fournisseur OAuth. Notez que contrairement aux autres opérations
FirebaseAuth, cela prendra le contrôle de votre interface utilisateur en ouvrant un onglet Chrome personnalisé. Par conséquent, ne référencez pas votre activité dansOnSuccessListeneretOnFailureListenerque vous attachez car ils se détacheront immédiatement lorsque l'opération démarrera l'interface utilisateur.Vous devez d'abord vérifier si vous avez déjà reçu une réponse. La connexion avec cette méthode place votre activité en arrière-plan, ce qui signifie qu'elle peut être récupérée par le système pendant le flux de connexion. Afin de vous assurer que vous n'obligez pas l'utilisateur à réessayer si cela se produit, vous devez vérifier si un résultat est déjà présent.
Pour vérifier s'il y a un résultat en attente, appelez
getPendingAuthResult():Kotlin+KTX
val pending = auth.pendingAuthResult if (pending != null) { pending.addOnSuccessListener { authResult -> Log.d(TAG, "checkPending:onSuccess:$authResult") // Get the user profile with authResult.getUser() and // authResult.getAdditionalUserInfo(), and the ID // token from Apple with authResult.getCredential(). }.addOnFailureListener { e -> Log.w(TAG, "checkPending:onFailure", e) } } else { Log.d(TAG, "pending: null") }Java
mAuth = FirebaseAuth.getInstance(); Task<AuthResult> pending = mAuth.getPendingAuthResult(); if (pending != null) { pending.addOnSuccessListener(new OnSuccessListener<AuthResult>() { @Override public void onSuccess(AuthResult authResult) { Log.d(TAG, "checkPending:onSuccess:" + authResult); // Get the user profile with authResult.getUser() and // authResult.getAdditionalUserInfo(), and the ID // token from Apple with authResult.getCredential(). } }).addOnFailureListener(new OnFailureListener() { @Override public void onFailure(@NonNull Exception e) { Log.w(TAG, "checkPending:onFailure", e); } }); } else { Log.d(TAG, "pending: null"); }S'il n'y a aucun résultat en attente, démarrez le flux de connexion en appelant
startActivityForSignInWithProvider():Kotlin+KTX
auth.startActivityForSignInWithProvider(this, provider.build()) .addOnSuccessListener { authResult -> // Sign-in successful! Log.d(TAG, "activitySignIn:onSuccess:${authResult.user}") val user = authResult.user // ... } .addOnFailureListener { e -> Log.w(TAG, "activitySignIn:onFailure", e) }Java
mAuth.startActivityForSignInWithProvider(this, provider.build()) .addOnSuccessListener( new OnSuccessListener<AuthResult>() { @Override public void onSuccess(AuthResult authResult) { // Sign-in successful! Log.d(TAG, "activitySignIn:onSuccess:" + authResult.getUser()); FirebaseUser user = authResult.getUser(); // ... } }) .addOnFailureListener( new OnFailureListener() { @Override public void onFailure(@NonNull Exception e) { Log.w(TAG, "activitySignIn:onFailure", e); } });Contrairement à d'autres fournisseurs pris en charge par Firebase Auth, Apple ne fournit pas d'URL de photo.
De plus, lorsque l'utilisateur choisit de ne pas partager son e-mail avec l'application, Apple fournit une adresse e-mail unique pour cet utilisateur (sous la forme
xyz@privaterelay.appleid.com), qu'il partage avec votre application. Si vous avez configuré le service de relais de messagerie privé, Apple transfère les e-mails envoyés à l'adresse anonymisée vers la véritable adresse e-mail de l'utilisateur.Apple ne partage les informations utilisateur telles que le nom d'affichage avec les applications que la première fois qu'un utilisateur se connecte. Habituellement, Firebase stocke le nom d'affichage la première fois qu'un utilisateur se connecte avec Apple, que vous pouvez obtenir avec
getCurrentUser().getDisplayName(). Toutefois, si vous avez déjà utilisé Apple pour connecter un utilisateur à l'application sans utiliser Firebase, Apple ne fournira pas à Firebase le nom d'affichage de l'utilisateur.
Réauthentification et liaison de compte
Le même modèle peut être utilisé avec startActivityForReauthenticateWithProvider() que vous pouvez utiliser pour récupérer de nouveaux identifiants pour les opérations sensibles qui nécessitent une connexion récente :
Kotlin+KTX
// The user is already signed-in.
val firebaseUser = auth.getCurrentUser()
firebaseUser
.startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
.addOnSuccessListener( authResult -> {
// User is re-authenticated with fresh tokens and
// should be able to perform sensitive operations
// like account deletion and email or password
// update.
})
.addOnFailureListener( e -> {
// Handle failure.
})
Java
// The user is already signed-in.
FirebaseUser firebaseUser = mAuth.getCurrentUser();
firebaseUser
.startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
.addOnSuccessListener(
new OnSuccessListener<AuthResult>() {
@Override
public void onSuccess(AuthResult authResult) {
// User is re-authenticated with fresh tokens and
// should be able to perform sensitive operations
// like account deletion and email or password
// update.
}
})
.addOnFailureListener(
new OnFailureListener() {
@Override
public void onFailure(@NonNull Exception e) {
// Handle failure.
}
});
Et vous pouvez utiliser linkWithCredential() pour lier différents fournisseurs d’identité aux comptes existants.
Notez qu'Apple exige que vous obteniez le consentement explicite des utilisateurs avant de lier leurs comptes Apple à d'autres données.
Par exemple, pour lier un compte Facebook au compte Firebase actuel, utilisez le jeton d'accès que vous avez obtenu en connectant l'utilisateur à Facebook :
Kotlin+KTX
// Initialize a Facebook credential with a Facebook access token.
val credential = FacebookAuthProvider.getCredential(token.getToken())
// Assuming the current user is an Apple user linking a Facebook provider.
mAuth.getCurrentUser().linkWithCredential(credential)
.addOnCompleteListener(this, task -> {
if (task.isSuccessful()) {
// Facebook credential is linked to the current Apple user.
// The user can now sign in to the same account
// with either Apple or Facebook.
}
});
Java
// Initialize a Facebook credential with a Facebook access token.
AuthCredential credential = FacebookAuthProvider.getCredential(token.getToken());
// Assuming the current user is an Apple user linking a Facebook provider.
mAuth.getCurrentUser().linkWithCredential(credential)
.addOnCompleteListener(this, new OnCompleteListener<AuthResult>() {
@Override
public void onComplete(@NonNull Task<AuthResult> task) {
if (task.isSuccessful()) {
// Facebook credential is linked to the current Apple user.
// The user can now sign in to the same account
// with either Apple or Facebook.
}
}
});
Avancé : gérer le flux de connexion manuellement
Vous pouvez également vous authentifier auprès de Firebase à l'aide d'un compte Apple en gérant le flux de connexion en utilisant le SDK Apple Sign-In JS, en créant manuellement le flux OAuth ou en utilisant une bibliothèque OAuth telle que AppAuth .
Pour chaque demande de connexion, générez une chaîne aléatoire (un « nonce) » que vous utiliserez pour vous assurer que le jeton d'identification que vous obtenez a été accordé spécifiquement en réponse à la demande d'authentification de votre application. Cette étape est importante pour empêcher les attaques par relecture.
Vous pouvez générer un nom occasionnel cryptographiquement sécurisé sur Android avec
SecureRandom, comme dans l'exemple suivant :Kotlin+KTX
private fun generateNonce(length: Int): String { val generator = SecureRandom() val charsetDecoder = StandardCharsets.US_ASCII.newDecoder() charsetDecoder.onUnmappableCharacter(CodingErrorAction.IGNORE) charsetDecoder.onMalformedInput(CodingErrorAction.IGNORE) val bytes = ByteArray(length) val inBuffer = ByteBuffer.wrap(bytes) val outBuffer = CharBuffer.allocate(length) while (outBuffer.hasRemaining()) { generator.nextBytes(bytes) inBuffer.rewind() charsetDecoder.reset() charsetDecoder.decode(inBuffer, outBuffer, false) } outBuffer.flip() return outBuffer.toString() }Java
private String generateNonce(int length) { SecureRandom generator = new SecureRandom(); CharsetDecoder charsetDecoder = StandardCharsets.US_ASCII.newDecoder(); charsetDecoder.onUnmappableCharacter(CodingErrorAction.IGNORE); charsetDecoder.onMalformedInput(CodingErrorAction.IGNORE); byte[] bytes = new byte[length]; ByteBuffer inBuffer = ByteBuffer.wrap(bytes); CharBuffer outBuffer = CharBuffer.allocate(length); while (outBuffer.hasRemaining()) { generator.nextBytes(bytes); inBuffer.rewind(); charsetDecoder.reset(); charsetDecoder.decode(inBuffer, outBuffer, false); } outBuffer.flip(); return outBuffer.toString(); }Ensuite, récupérez le hachage SHA246 du nom occasionnel sous forme de chaîne hexadécimale :
Kotlin+KTX
private fun sha256(s: String): String { val md = MessageDigest.getInstance("SHA-256") val digest = md.digest(s.toByteArray()) val hash = StringBuilder() for (c in digest) { hash.append(String.format("%02x", c)) } return hash.toString() }Java
private String sha256(String s) throws NoSuchAlgorithmException { MessageDigest md = MessageDigest.getInstance("SHA-256"); byte[] digest = md.digest(s.getBytes()); StringBuilder hash = new StringBuilder(); for (byte c: digest) { hash.append(String.format("%02x", c)); } return hash.toString(); }Vous enverrez le hachage SHA256 du nonce avec votre demande de connexion, qu'Apple transmettra sans modification dans la réponse. Firebase valide la réponse en hachant le nom occasionnel d'origine et en le comparant à la valeur transmise par Apple.
Lancez le flux de connexion d'Apple à l'aide de votre bibliothèque OAuth ou d'une autre méthode. Assurez-vous d'inclure le nom occasionnel haché en tant que paramètre dans votre demande.
Après avoir reçu la réponse d'Apple, récupérez le jeton d'identification de la réponse et utilisez-le ainsi que le nom occasionnel non haché pour créer un
AuthCredential:Kotlin+KTX
val credential = OAuthProvider.newCredentialBuilder("apple.com") .setIdTokenWithRawNonce(appleIdToken, rawUnhashedNonce) .build()Java
AuthCredential credential = OAuthProvider.newCredentialBuilder("apple.com") .setIdTokenWithRawNonce(appleIdToken, rawUnhashedNonce) .build();Authentifiez-vous auprès de Firebase à l'aide des identifiants Firebase :
Kotlin+KTX
auth.signInWithCredential(credential) .addOnCompleteListener(this) { task -> if (task.isSuccessful) { // User successfully signed in with Apple ID token. // ... } }Java
mAuth.signInWithCredential(credential) .addOnCompleteListener(this, new OnCompleteListener<AuthResult>() { @Override public void onComplete(@NonNull Task<AuthResult> task) { if (task.isSuccessful()) { // User successfully signed in with Apple ID token. // ... } } });
Si l'appel à signInWithCredential réussit, vous pouvez utiliser la méthode getCurrentUser pour obtenir les données du compte de l'utilisateur.
Révocation de jeton
Apple exige que les applications prenant en charge la création de compte permettent aux utilisateurs de lancer la suppression de leur compte dans l'application, comme décrit dans les directives d'examen de l'App Store.
De plus, les applications prenant en charge la connexion avec Apple doivent utiliser l’API REST de connexion avec Apple pour révoquer les jetons utilisateur.
Pour répondre à cette exigence, mettez en œuvre les étapes suivantes :
Utilisez la méthode
startActivityForSignInWithProvider()pour vous connecter à l’aide d’Apple et obtenirAuthResult.Obtenez le jeton d'accès pour le fournisseur Apple.
Kotlin+KTX
val oauthCredential: OAuthCredential = authResult.credential val accessToken = oauthCredential.accessTokenJava
OAuthCredential oauthCredential = (OAuthCredential) authResult.getCredential(); String accessToken = oauthCredential.getAccessToken();Révoquez le jeton à l’aide de l’API
revokeAccessToken.Kotlin+KTX
mAuth.revokeAccessToken(accessToken) .addOnCompleteListener(this) { task -> if (task.isSuccessful) { // Access token successfully revoked // for the user ... } }Java
mAuth.revokeAccessToken(accessToken) .addOnCompleteListener(this, new OnCompleteListener<Void>() { @Override public void onComplete(@NonNull Task<Void> task) { if (task.isSuccessful()) { // Access token successfully revoked // for the user ... } } });
- Enfin, supprimez le compte utilisateur (et toutes les données associées)
Prochaines étapes
Après qu'un utilisateur se connecte pour la première fois, un nouveau compte utilisateur est créé et lié aux informations d'identification (c'est-à-dire le nom d'utilisateur et le mot de passe, le numéro de téléphone ou les informations du fournisseur d'authentification) avec lesquels l'utilisateur s'est connecté. Ce nouveau compte est stocké dans le cadre de votre projet Firebase et peut être utilisé pour identifier un utilisateur dans chaque application de votre projet, quelle que soit la manière dont l'utilisateur se connecte.
Dans vos applications, vous pouvez obtenir les informations de base du profil de l'utilisateur à partir de l'objet
FirebaseUser. Voir Gérer les utilisateurs .Dans vos règles de sécurité Firebase Realtime Database et Cloud Storage, vous pouvez obtenir l'ID utilisateur unique de l'utilisateur connecté à partir de la variable
authet l'utiliser pour contrôler les données auxquelles un utilisateur peut accéder.
Vous pouvez autoriser les utilisateurs à se connecter à votre application à l'aide de plusieurs fournisseurs d'authentification en associant les informations d'identification du fournisseur d'authentification à un compte utilisateur existant.
Pour déconnecter un utilisateur, appelez
signOut:Kotlin+KTX
Firebase.auth.signOut()
Java
FirebaseAuth.getInstance().signOut();