Autentica mediante OpenID Connect en Android

Si actualizaste a Firebase Authentication con Identity Platform, puedes autenticar tus usuarios con Firebase mediante el proveedor que admita OpenID Connect (OIDC) de tu preferencia, lo que permite usar proveedores de identidad que no son compatibles de forma nativa con Firebase.

Antes de comenzar

Para que los usuarios accedan con un proveedor de OIDC, primero debes recopilar cierta información del proveedor:

  • ID de cliente: Es una string única para el proveedor que identifica tu app. Es posible que el proveedor te asigne un ID de cliente diferente para cada plataforma que admitas. Este es uno de los valores de la reclamación aud en los tokens de ID emitidos por tu proveedor.

  • Secreto de cliente: Es una string secreta que usa el proveedor para confirmar la propiedad de un ID de cliente. Para cada ID de cliente, necesitarás un secreto de cliente que coincida. Este valor solo es necesario si usas el flujo de código de autenticación, lo que es muy recomendable.

  • Emisor: Es una string que identifica a tu proveedor. Debe ser una URL que, cuando se agrega con /.well-known/openid-configuration, es la ubicación del documento de descubrimiento de OIDC del proveedor. Por ejemplo, si el emisor es https://auth.example.com, el documento de descubrimiento debe estar disponible en https://auth.example.com/.well-known/openid-configuration.

Una vez que tengas la información anterior, habilita OpenID Connect como proveedor de acceso para el proyecto de Firebase.

  1. Agrega Firebase al proyecto de Android.

  2. Actualiza a Firebase Authentication con Identity Platform si aún no lo has hecho. La autenticación de OpenID Connect solo está disponible en proyectos actualizados.

  3. En la página Proveedores de acceso de Firebase console, haz clic en Agregar proveedor nuevo y, luego, en OpenID Connect.

  4. Selecciona si usarás el flujo de código de autorización o el flujo de concesión implícito.

    Debes usar siempre el flujo de código si tu proveedor lo admite. El flujo implícito es menos seguro y no se recomienda su uso.

  5. Asígnale un nombre a este proveedor. Toma nota del ID de proveedor que se genera (algo como oidc.example-provider). Lo necesitarás cuando agregues el código de acceso a tu app.

  6. Especifica tu ID de cliente, el secreto de cliente y la string de emisor de tu proveedor. Estos valores deben coincidir exactamente con los valores que te asignó el proveedor.

  7. Guarda los cambios.

Maneja el flujo de acceso con el SDK de Firebase

Si estás creando una app para Android, la manera más sencilla de autenticar a los usuarios con Firebase mediante tu proveedor de OIDC es manejar todo el flujo de acceso con el SDK de Firebase Android.

A fin de manejar el flujo de acceso con el SDK de Firebase Android, sigue estos pasos:

  1. Crea la instancia de un OAuthProvider usando su compilador con el ID de proveedor.

    Kotlin+KTX

    val providerBuilder = OAuthProvider.newBuilder("oidc.example-provider")

    Java

    OAuthProvider.Builder providerBuilder = OAuthProvider.newBuilder("oidc.example-provider");

  2. Opcional: Especifica parámetros de OAuth personalizados adicionales que quieras enviar con la solicitud de OAuth.

    Kotlin+KTX

    // Target specific email with login hint.
    providerBuilder.addCustomParameter("login_hint", "user@example.com")

    Java

    // Target specific email with login hint.
    providerBuilder.addCustomParameter("login_hint", "user@example.com");

    Consulta con tu proveedor de OIDC los parámetros que admite. Ten en cuenta que no puedes pasar los parámetros obligatorios de Firebase con setCustomParameters(). Estos parámetros son client_id, response_type, redirect_uri, state, scope y response_mode.

  3. Opcional: Especifica permisos de OAuth 2.0 adicionales aparte del perfil básico que quieres solicitar del proveedor de autenticación.

    Kotlin+KTX

    // Request read access to a user's email addresses.
    // This must be preconfigured in the app's API permissions.
    providerBuilder.scopes = listOf("mail.read", "calendars.read")

    Java

    // Request read access to a user's email addresses.
    // This must be preconfigured in the app's API permissions.
    List<String> scopes =
            new ArrayList<String>() {
                {
                    add("mail.read");
                    add("calendars.read");
                }
            };
    providerBuilder.setScopes(scopes);

    Consulta con tu proveedor de OIDC los permisos que utiliza.

  4. Autentica con Firebase usando el objeto del proveedor de OAuth. Ten en cuenta que, a diferencia de otras operaciones de Firebase Auth, esta tomará el control de tu IU mediante una pestaña personalizada emergente de Chrome. Por lo tanto, no hagas referencia a tu actividad en el OnSuccessListener ni en el OnFailureListener que conectas, ya que se desvincularán inmediatamente cuando la operación inicie la IU.

    Lo primero que debes hacer es revisar si ya recibiste una respuesta. Este método de acceso coloca tu actividad en segundo plano, lo cual significa que el sistema puede reclamarla durante el flujo de acceso. Para asegurarte de no hacer que el usuario realice otro intento en caso de que esto ocurra, debes revisar si ya hay un resultado.

    Para verificar si hay un resultado pendiente, llama a getPendingAuthResult:

    Kotlin+KTX

    val pendingResultTask = firebaseAuth.pendingAuthResult
    if (pendingResultTask != null) {
        // There's something already here! Finish the sign-in for your user.
        pendingResultTask
            .addOnSuccessListener {
                // User is signed in.
                // IdP data available in
                // authResult.getAdditionalUserInfo().getProfile().
                // The OAuth access token can also be retrieved:
                // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                // The OAuth secret can be retrieved by calling:
                // ((OAuthCredential)authResult.getCredential()).getSecret().
            }
            .addOnFailureListener {
                // Handle failure.
            }
    } else {
        // There's no pending result so you need to start the sign-in flow.
        // See below.
    }

    Java

    Task<AuthResult> pendingResultTask = firebaseAuth.getPendingAuthResult();
    if (pendingResultTask != null) {
        // There's something already here! Finish the sign-in for your user.
        pendingResultTask
                .addOnSuccessListener(
                        new OnSuccessListener<AuthResult>() {
                            @Override
                            public void onSuccess(AuthResult authResult) {
                                // User is signed in.
                                // IdP data available in
                                // authResult.getAdditionalUserInfo().getProfile().
                                // The OAuth access token can also be retrieved:
                                // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                                // The OAuth secret can be retrieved by calling:
                                // ((OAuthCredential)authResult.getCredential()).getSecret().
                            }
                        })
                .addOnFailureListener(
                        new OnFailureListener() {
                            @Override
                            public void onFailure(@NonNull Exception e) {
                                // Handle failure.
                            }
                        });
    } else {
        // There's no pending result so you need to start the sign-in flow.
        // See below.
    }

    Para iniciar el flujo de acceso, llama a startActivityForSignInWithProvider:

    Kotlin+KTX

    firebaseAuth
        .startActivityForSignInWithProvider(activity, provider.build())
        .addOnSuccessListener {
            // User is signed in.
            // IdP data available in
            // authResult.getAdditionalUserInfo().getProfile().
            // The OAuth access token can also be retrieved:
            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
            // The OAuth secret can be retrieved by calling:
            // ((OAuthCredential)authResult.getCredential()).getSecret().
        }
        .addOnFailureListener {
            // Handle failure.
        }

    Java

    firebaseAuth
            .startActivityForSignInWithProvider(/* activity= */ this, provider.build())
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // User is signed in.
                            // IdP data available in
                            // authResult.getAdditionalUserInfo().getProfile().
                            // The OAuth access token can also be retrieved:
                            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                            // The OAuth secret can be retrieved by calling:
                            // ((OAuthCredential)authResult.getCredential()).getSecret().
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });

  5. Si bien los ejemplos anteriores se enfocan en los flujos de acceso, también puedes vincular un proveedor de OIDC con un usuario existente mediante startActivityForLinkWithProvider. Por ejemplo, puedes vincular varios proveedores al mismo usuario para que este pueda acceder con cualquiera de ellos.

    Kotlin+KTX

    // The user is already signed-in.
    val firebaseUser = firebaseAuth.currentUser!!
    firebaseUser
        .startActivityForLinkWithProvider(activity, provider.build())
        .addOnSuccessListener {
            // Provider credential is linked to the current user.
            // IdP data available in
            // authResult.getAdditionalUserInfo().getProfile().
            // The OAuth access token can also be retrieved:
            // authResult.getCredential().getAccessToken().
            // The OAuth secret can be retrieved by calling:
            // authResult.getCredential().getSecret().
        }
        .addOnFailureListener {
            // Handle failure.
        }

    Java

    // The user is already signed-in.
    FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();
    
    firebaseUser
            .startActivityForLinkWithProvider(/* activity= */ this, provider.build())
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // Provider credential is linked to the current user.
                            // IdP data available in
                            // authResult.getAdditionalUserInfo().getProfile().
                            // The OAuth access token can also be retrieved:
                            // authResult.getCredential().getAccessToken().
                            // The OAuth secret can be retrieved by calling:
                            // authResult.getCredential().getSecret().
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });

  6. Se puede utilizar el mismo patrón con startActivityForReauthenticateWithProvider, que se puede usar a fin de recuperar credenciales nuevas para operaciones sensibles que requieren un acceso reciente.

    Kotlin+KTX

    // The user is already signed-in.
    val firebaseUser = firebaseAuth.currentUser!!
    firebaseUser
        .startActivityForReauthenticateWithProvider(activity, provider.build())
        .addOnSuccessListener {
            // User is re-authenticated with fresh tokens and
            // should be able to perform sensitive operations
            // like account deletion and email or password
            // update.
        }
        .addOnFailureListener {
            // Handle failure.
        }

    Java

    // The user is already signed-in.
    FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();
    
    firebaseUser
            .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // User is re-authenticated with fresh tokens and
                            // should be able to perform sensitive operations
                            // like account deletion and email or password
                            // update.
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });

Maneja el flujo de acceso de manera manual

Si ya implementaste el flujo de acceso de OpenID Connect en tu app, puedes usar el token de ID directamente para realizar la autenticación con Firebase:

Kotlin+KTX

val providerId = "oidc.example-provider" // As registered in Firebase console.
val credential = oAuthCredential(providerId) {
    setIdToken(idToken) // ID token from OpenID Connect flow.
}
Firebase.auth
    .signInWithCredential(credential)
    .addOnSuccessListener { authResult ->
        // User is signed in.

        // IdP data available in:
        //    authResult.additionalUserInfo.profile
    }
    .addOnFailureListener { e ->
        // Handle failure.
    }

Java

AuthCredential credential = OAuthProvider
        .newCredentialBuilder("oidc.example-provider")  // As registered in Firebase console.
        .setIdToken(idToken)  // ID token from OpenID Connect flow.
        .build();
FirebaseAuth.getInstance()
        .signInWithCredential(credential)
        .addOnSuccessListener(new OnSuccessListener<AuthResult>() {
            @Override
            public void onSuccess(AuthResult authResult) {
                // User is signed in.

                // IdP data available in:
                //    authResult.getAdditionalUserInfo().getProfile()
            }
        })
        .addOnFailureListener(new OnFailureListener() {
            @Override
            public void onFailure(@NonNull Exception e) {
                // Handle failure.
            }
        });

Próximos pasos

Cuando un usuario accede por primera vez, se crea una cuenta de usuario nueva y se la vincula con las credenciales (el nombre de usuario y la contraseña, el número de teléfono o la información del proveedor de autenticación) que el usuario utilizó para acceder. Esta cuenta nueva se almacena como parte de tu proyecto de Firebase y se puede usar para identificar a un usuario en todas las apps del proyecto, sin importar cómo acceda.

  • En tus apps, puedes obtener la información básica del perfil del usuario a partir del objeto FirebaseUser. Consulta Administra usuarios.

  • En tus reglas de seguridad de Firebase Realtime Database y Cloud Storage, puedes obtener el ID del usuario único que accedió a partir de la variable auth y usarlo para controlar a qué datos podrá acceder.

Para permitir que los usuarios accedan a la app con varios proveedores de autenticación, puedes vincular las credenciales de estos proveedores con una cuenta de usuario existente.

Para salir de la sesión de un usuario, llama a signOut de la siguiente manera:

Kotlin+KTX

Firebase.auth.signOut()

Java

FirebaseAuth.getInstance().signOut();