在 Android 上使用 OpenID Connect 進行驗證

透過集合功能整理內容 你可以依據偏好儲存及分類內容。

如果您已升級至 Firebase Authentication with Identity Platform，可以使用所選的 OpenID Connect (OIDC) 相容提供者，透過 Firebase 驗證使用者。這樣一來，您就能使用 Firebase 不支援的原生身分識別提供者。

事前準備

如要使用 OIDC 供應器登入使用者，您必須先向供應器收集一些資訊：

• 用戶端 ID：提供者專屬的字串，用於識別您的應用程式。提供者可能會為您支援的每個平台指派不同的用戶端 ID。這是供應商所發出 ID 權杖中 aud 要求的其中一個值。

• 用戶端密碼：供應商用來確認用戶端 ID 擁有權的密鑰字串。每個用戶端 ID 都需要對應的用戶端密鑰。(只有在您使用授權碼流程時才需要此值，我們強烈建議您使用此流程)。

• Issuer：用於識別供應商的字串。這個值必須是網址，當與 /.well-known/openid-configuration 連結時，就是提供者的 OIDC 探索文件位置。舉例來說，如果發布者是 https://auth.example.com，探索文件必須位於 https://auth.example.com/.well-known/openid-configuration。

取得上述資訊後，請啟用 OpenID Connect 做為 Firebase 專案的登入服務供應器：

1. 將 Firebase 新增至 Android 專案。

2. 如果您尚未升級至 Firebase Authentication with Identity Platform，請先升級。OpenID Connect 驗證功能僅適用於已升級的專案。

3. 在 Firebase 主控台的「Sign-in providers」頁面中，按一下「Add new provider」，然後點選「OpenID Connect」。

4. 選取要使用授權碼流程或隱含授權流程。

   如果供應商支援程式碼流程，您應一律使用該流程。隱含流程的安全性較低，因此強烈建議您不要使用這類流程。

5. 為這個供應者命名。請記下系統產生的供應商 ID，例如 oidc.example-provider。在應用程式中加入登入程式碼時，您需要使用這個 ID。

6. 指定用戶端 ID 和用戶端密碼，以及提供者的發布者字串。這些值必須與供應商指派給您的值完全相符。

7. 儲存變更。

使用 Firebase SDK 處理登入流程

如果您要建構 Android 應用程式，使用 Firebase 和 OIDC 供應器驗證使用者最簡單的方法，就是使用 Firebase Android SDK 處理整個登入流程。

如要使用 Firebase Android SDK 處理登入流程，請按照下列步驟操作：

1. 使用提供者 ID 的 Builder 建構 OAuthProvider 例項

   Kotlin

   val providerBuilder = OAuthProvider.newBuilder("oidc.example-provider")
   GenericIdpActivity.kt

   Java

   OAuthProvider.Builder providerBuilder = OAuthProvider.newBuilder("oidc.example-provider");
   GenericIdpActivity.java

2. 選用：指定您要透過 OAuth 要求傳送的其他自訂 OAuth 參數。

   Kotlin

   // Target specific email with login hint.
   providerBuilder.addCustomParameter("login_hint", "user@example.com")
   GenericIdpActivity.kt

   Java

   // Target specific email with login hint.
   providerBuilder.addCustomParameter("login_hint", "user@example.com");
   GenericIdpActivity.java

   請洽詢 OIDC 供應商，瞭解他們支援哪些參數。請注意，您無法使用 setCustomParameters() 傳遞 Firebase 必要參數。這些參數包括 client_id、response_type、redirect_uri、state、scope 和 response_mode。

3. 選用：指定您要向驗證服務供應器要求的其他 OAuth 2.0 範圍 (除了基本設定檔)。

   Kotlin

   // Request read access to a user's email addresses.
   // This must be preconfigured in the app's API permissions.
   providerBuilder.scopes = listOf("mail.read", "calendars.read")
   GenericIdpActivity.kt

   Java

   // Request read access to a user's email addresses.
   // This must be preconfigured in the app's API permissions.
   List<String> scopes =
           new ArrayList<String>() {
               {
                   add("mail.read");
                   add("calendars.read");
               }
           };
   providerBuilder.setScopes(scopes);
   GenericIdpActivity.java

   請洽詢 OIDC 供應商，瞭解他們使用的範圍。

4. 使用 OAuth 提供者物件與 Firebase 進行驗證。請注意，與其他 FirebaseAuth 作業不同，這項作業會透過彈出自訂 Chrome 分頁來控制 UI。因此，請勿在您附加的 OnSuccessListener 和 OnFailureListener 中參照活動，因為在作業啟動 UI 時，這兩者會立即解除連結。

   請先確認你是否已收到回覆。使用這種方法登入會將活動置於背景，也就是說，系統可以在登入流程中回收活動。為避免發生這種情況，請確認是否已顯示結果，以免使用者重試。

   如要檢查是否有待處理的結果，請呼叫 getPendingAuthResult：

   Kotlin

   val pendingResultTask = firebaseAuth.pendingAuthResult
   if (pendingResultTask != null) {
       // There's something already here! Finish the sign-in for your user.
       pendingResultTask
           .addOnSuccessListener {
               // User is signed in.
               // IdP data available in
               // authResult.getAdditionalUserInfo().getProfile().
               // The OAuth access token can also be retrieved:
               // ((OAuthCredential)authResult.getCredential()).getAccessToken().
               // The OAuth secret can be retrieved by calling:
               // ((OAuthCredential)authResult.getCredential()).getSecret().
           }
           .addOnFailureListener {
               // Handle failure.
           }
   } else {
       // There's no pending result so you need to start the sign-in flow.
       // See below.
   }
   GenericIdpActivity.kt

   Java

   Task<AuthResult> pendingResultTask = firebaseAuth.getPendingAuthResult();
   if (pendingResultTask != null) {
       // There's something already here! Finish the sign-in for your user.
       pendingResultTask
               .addOnSuccessListener(
                       new OnSuccessListener<AuthResult>() {
                           @Override
                           public void onSuccess(AuthResult authResult) {
                               // User is signed in.
                               // IdP data available in
                               // authResult.getAdditionalUserInfo().getProfile().
                               // The OAuth access token can also be retrieved:
                               // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                               // The OAuth secret can be retrieved by calling:
                               // ((OAuthCredential)authResult.getCredential()).getSecret().
                           }
                       })
               .addOnFailureListener(
                       new OnFailureListener() {
                           @Override
                           public void onFailure(@NonNull Exception e) {
                               // Handle failure.
                           }
                       });
   } else {
       // There's no pending result so you need to start the sign-in flow.
       // See below.
   }
   GenericIdpActivity.java

   如要啟動登入流程，請呼叫 startActivityForSignInWithProvider：

   Kotlin

   firebaseAuth
       .startActivityForSignInWithProvider(activity, provider.build())
       .addOnSuccessListener {
           // User is signed in.
           // IdP data available in
           // authResult.getAdditionalUserInfo().getProfile().
           // The OAuth access token can also be retrieved:
           // ((OAuthCredential)authResult.getCredential()).getAccessToken().
           // The OAuth secret can be retrieved by calling:
           // ((OAuthCredential)authResult.getCredential()).getSecret().
       }
       .addOnFailureListener {
           // Handle failure.
       }
   GenericIdpActivity.kt

   Java

   firebaseAuth
           .startActivityForSignInWithProvider(/* activity= */ this, provider.build())
           .addOnSuccessListener(
                   new OnSuccessListener<AuthResult>() {
                       @Override
                       public void onSuccess(AuthResult authResult) {
                           // User is signed in.
                           // IdP data available in
                           // authResult.getAdditionalUserInfo().getProfile().
                           // The OAuth access token can also be retrieved:
                           // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                           // The OAuth secret can be retrieved by calling:
                           // ((OAuthCredential)authResult.getCredential()).getSecret().
                       }
                   })
           .addOnFailureListener(
                   new OnFailureListener() {
                       @Override
                       public void onFailure(@NonNull Exception e) {
                           // Handle failure.
                       }
                   });
   GenericIdpActivity.java

5. 雖然上述範例著重於登入流程，但您也可以使用 startActivityForLinkWithProvider 將 OIDC 提供者連結至現有使用者。舉例來說，您可以將多個提供者連結至同一位使用者，讓他們使用任一提供者登入。

   Kotlin

   // The user is already signed-in.
   val firebaseUser = firebaseAuth.currentUser!!
   firebaseUser
       .startActivityForLinkWithProvider(activity, provider.build())
       .addOnSuccessListener {
           // Provider credential is linked to the current user.
           // IdP data available in
           // authResult.getAdditionalUserInfo().getProfile().
           // The OAuth access token can also be retrieved:
           // authResult.getCredential().getAccessToken().
           // The OAuth secret can be retrieved by calling:
           // authResult.getCredential().getSecret().
       }
       .addOnFailureListener {
           // Handle failure.
       }
   GenericIdpActivity.kt

   Java

   // The user is already signed-in.
   FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();
   
   firebaseUser
           .startActivityForLinkWithProvider(/* activity= */ this, provider.build())
           .addOnSuccessListener(
                   new OnSuccessListener<AuthResult>() {
                       @Override
                       public void onSuccess(AuthResult authResult) {
                           // Provider credential is linked to the current user.
                           // IdP data available in
                           // authResult.getAdditionalUserInfo().getProfile().
                           // The OAuth access token can also be retrieved:
                           // authResult.getCredential().getAccessToken().
                           // The OAuth secret can be retrieved by calling:
                           // authResult.getCredential().getSecret().
                       }
                   })
           .addOnFailureListener(
                   new OnFailureListener() {
                       @Override
                       public void onFailure(@NonNull Exception e) {
                           // Handle failure.
                       }
                   });
   GenericIdpActivity.java

6. startActivityForReauthenticateWithProvider 可用於擷取敏感作業的最新憑證，這些作業需要最近的登入資訊。startActivityForReauthenticateWithProvider 可搭配相同的模式使用。

   Kotlin

   // The user is already signed-in.
   val firebaseUser = firebaseAuth.currentUser!!
   firebaseUser
       .startActivityForReauthenticateWithProvider(activity, provider.build())
       .addOnSuccessListener {
           // User is re-authenticated with fresh tokens and
           // should be able to perform sensitive operations
           // like account deletion and email or password
           // update.
       }
       .addOnFailureListener {
           // Handle failure.
       }
   GenericIdpActivity.kt

   Java

   // The user is already signed-in.
   FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();
   
   firebaseUser
           .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
           .addOnSuccessListener(
                   new OnSuccessListener<AuthResult>() {
                       @Override
                       public void onSuccess(AuthResult authResult) {
                           // User is re-authenticated with fresh tokens and
                           // should be able to perform sensitive operations
                           // like account deletion and email or password
                           // update.
                       }
                   })
           .addOnFailureListener(
                   new OnFailureListener() {
                       @Override
                       public void onFailure(@NonNull Exception e) {
                           // Handle failure.
                       }
                   });
   GenericIdpActivity.java

手動處理登入流程

如果您已在應用程式中實作 OpenID Connect 登入流程，可以直接使用 ID 權杖來驗證 Firebase：

val providerId = "oidc.example-provider" // As registered in Firebase console.
val credential = oAuthCredential(providerId) {
    setIdToken(idToken) // ID token from OpenID Connect flow.
}
Firebase.auth
    .signInWithCredential(credential)
    .addOnSuccessListener { authResult ->
        // User is signed in.

        // IdP data available in:
        //    authResult.additionalUserInfo.profile
    }
    .addOnFailureListener { e ->
        // Handle failure.
    }
GenericIdpActivity.kt

AuthCredential credential = OAuthProvider
        .newCredentialBuilder("oidc.example-provider")  // As registered in Firebase console.
        .setIdToken(idToken)  // ID token from OpenID Connect flow.
        .build();
FirebaseAuth.getInstance()
        .signInWithCredential(credential)
        .addOnSuccessListener(new OnSuccessListener<AuthResult>() {
            @Override
            public void onSuccess(AuthResult authResult) {
                // User is signed in.

                // IdP data available in:
                //    authResult.getAdditionalUserInfo().getProfile()
            }
        })
        .addOnFailureListener(new OnFailureListener() {
            @Override
            public void onFailure(@NonNull Exception e) {
                // Handle failure.
            }
        });
GenericIdpActivity.java

後續步驟

使用者首次登入後，系統會建立新使用者帳戶，並連結至使用者登入時所用的憑證 (即使用者名稱和密碼、電話號碼或驗證服務提供者資訊)。這個新帳戶會儲存在 Firebase 專案中，無論使用者如何登入，都可以用於在專案中的每個應用程式中識別使用者。

• 在應用程式中，您可以從 FirebaseUser 物件取得使用者的個人資料基本資訊。請參閱「 管理使用者」。

• 在 Firebase Realtime Database 和 Cloud Storage 安全性規則中，您可以從 auth 變數取得已登入使用者的專屬使用者 ID，並利用該 ID 控管使用者可存取的資料。

您可以將驗證服務供應商憑證連結至現有使用者帳戶，讓使用者使用多個驗證服務供應商登入應用程式。

如要將使用者登出，請呼叫 signOut：

Firebase.auth.signOut()
MainActivity.kt

FirebaseAuth.getInstance().signOut();
MainActivity.java