Xác thực bằng OpenID Connect trên Android

Nếu đã nâng cấp lên Xác thực Firebase với Nền tảng nhận dạng, bạn có thể xác thực người dùng của mình bằng Firebase bằng cách sử dụng nhà cung cấp tuân thủ OpenID Connect (OIDC) mà bạn chọn. Điều này cho phép sử dụng các nhà cung cấp danh tính không được Firebase hỗ trợ nguyên bản.

Trước khi bắt đầu

Để đăng nhập người dùng bằng nhà cung cấp OIDC, trước tiên bạn phải thu thập một số thông tin từ nhà cung cấp:

  • ID khách hàng : Một chuỗi duy nhất của nhà cung cấp xác định ứng dụng của bạn. Nhà cung cấp của bạn có thể chỉ định cho bạn một ID khách hàng khác nhau cho mỗi nền tảng mà bạn hỗ trợ. Đây là một trong những giá trị của yêu cầu aud trong mã thông báo ID do nhà cung cấp của bạn phát hành.

  • Bí mật khách hàng : Một chuỗi bí mật mà nhà cung cấp sử dụng để xác nhận quyền sở hữu ID khách hàng. Đối với mỗi ID khách hàng, bạn sẽ cần một bí mật khách hàng phù hợp. (Giá trị này chỉ được yêu cầu nếu bạn đang sử dụng luồng mã xác thực , điều này thực sự được khuyến khích.)

  • Nhà phát hành : Một chuỗi xác định nhà cung cấp của bạn. Giá trị này phải là một URL mà khi được thêm vào /.well-known/openid-configuration , là vị trí của tài liệu khám phá OIDC của nhà cung cấp. Ví dụ: nếu nhà phát hành là https://auth.example.com thì tài liệu khám phá phải có sẵn tại https://auth.example.com/.well-known/openid-configuration .

Sau khi bạn có thông tin trên, hãy bật OpenID Connect làm nhà cung cấp dịch vụ đăng nhập cho dự án Firebase của bạn:

  1. Thêm Firebase vào dự án Android của bạn .

  2. Nếu bạn chưa nâng cấp lên Xác thực Firebase với Nền tảng nhận dạng, hãy làm như vậy. Xác thực OpenID Connect chỉ khả dụng trong các dự án đã nâng cấp.

  3. Trên trang Nhà cung cấp đăng nhập của bảng điều khiển Firebase, hãy nhấp vào Thêm nhà cung cấp mới rồi nhấp vào Kết nối OpenID .

  4. Chọn xem bạn sẽ sử dụng luồng mã ủy quyền hay luồng cấp quyền tiềm ẩn .

    Bạn nên luôn sử dụng luồng mã nếu nhà cung cấp của bạn hỗ trợ nó . Luồng ngầm kém an toàn hơn và việc sử dụng nó hoàn toàn không được khuyến khích.

  5. Đặt tên cho nhà cung cấp này. Lưu ý ID nhà cung cấp đã được tạo: đại loại như oidc.example-provider . Bạn sẽ cần ID này khi thêm mã đăng nhập vào ứng dụng của mình.

  6. Chỉ định ID khách hàng và bí mật khách hàng của bạn cũng như chuỗi nhà phát hành của nhà cung cấp của bạn. Các giá trị này phải khớp chính xác với các giá trị mà nhà cung cấp đã chỉ định cho bạn.

  7. Lưu các thay đổi của bạn.

Xử lý luồng đăng nhập bằng SDK Firebase

Nếu bạn đang xây dựng một ứng dụng Android, cách dễ nhất để xác thực người dùng của bạn với Firebase bằng nhà cung cấp OIDC là xử lý toàn bộ luồng đăng nhập bằng SDK Android của Firebase.

Để xử lý luồng đăng nhập bằng SDK Android Firebase, hãy làm theo các bước sau:

  1. Tạo một phiên bản của OAuthProvider bằng cách sử dụng Trình tạo của nó với ID của nhà cung cấp

    Kotlin+KTX

    val providerBuilder = OAuthProvider.newBuilder("oidc.example-provider")

    Java

    OAuthProvider.Builder providerBuilder = OAuthProvider.newBuilder("oidc.example-provider");

  2. Tùy chọn : Chỉ định các tham số OAuth tùy chỉnh bổ sung mà bạn muốn gửi cùng với yêu cầu OAuth.

    Kotlin+KTX

    // Target specific email with login hint.
    providerBuilder.addCustomParameter("login_hint", "user@example.com")

    Java

    // Target specific email with login hint.
    providerBuilder.addCustomParameter("login_hint", "user@example.com");

    Kiểm tra với nhà cung cấp OIDC của bạn để biết các thông số họ hỗ trợ. Lưu ý rằng bạn không thể chuyển các tham số bắt buộc của Firebase bằng setCustomParameters() . Các tham số này là client_id , reply_type , redirect_uri , state , phạm vireply_mode .

  3. Tùy chọn : Chỉ định phạm vi OAuth 2.0 bổ sung ngoài hồ sơ cơ bản mà bạn muốn yêu cầu từ nhà cung cấp xác thực.

    Kotlin+KTX

    // Request read access to a user's email addresses.
    // This must be preconfigured in the app's API permissions.
    providerBuilder.scopes = listOf("mail.read", "calendars.read")

    Java

    // Request read access to a user's email addresses.
    // This must be preconfigured in the app's API permissions.
    List<String> scopes =
            new ArrayList<String>() {
                {
                    add("mail.read");
                    add("calendars.read");
                }
            };
    providerBuilder.setScopes(scopes);

    Kiểm tra với nhà cung cấp OIDC của bạn để biết phạm vi họ sử dụng.

  4. Xác thực với Firebase bằng đối tượng nhà cung cấp OAuth. Lưu ý rằng không giống như các hoạt động FirebaseAuth khác, thao tác này sẽ kiểm soát giao diện người dùng của bạn bằng cách bật lên Tab Chrome tùy chỉnh . Do đó, không tham chiếu Hoạt động của bạn trong OnSuccessListenerOnFailureListener mà bạn đính kèm vì chúng sẽ tách ra ngay lập tức khi thao tác khởi động giao diện người dùng.

    Trước tiên bạn nên kiểm tra xem bạn đã nhận được phản hồi chưa. Việc đăng nhập bằng phương pháp này sẽ đặt Hoạt động của bạn ở chế độ nền, điều đó có nghĩa là hoạt động đó có thể được hệ thống thu hồi lại trong quá trình đăng nhập. Để đảm bảo rằng bạn không bắt người dùng thử lại nếu điều này xảy ra, bạn nên kiểm tra xem đã có kết quả chưa.

    Để kiểm tra xem có kết quả đang chờ xử lý hay không, hãy gọi getPendingAuthResult :

    Kotlin+KTX

    val pendingResultTask = firebaseAuth.pendingAuthResult
    if (pendingResultTask != null) {
        // There's something already here! Finish the sign-in for your user.
        pendingResultTask
            .addOnSuccessListener {
                // User is signed in.
                // IdP data available in
                // authResult.getAdditionalUserInfo().getProfile().
                // The OAuth access token can also be retrieved:
                // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                // The OAuth secret can be retrieved by calling:
                // ((OAuthCredential)authResult.getCredential()).getSecret().
            }
            .addOnFailureListener {
                // Handle failure.
            }
    } else {
        // There's no pending result so you need to start the sign-in flow.
        // See below.
    }

    Java

    Task<AuthResult> pendingResultTask = firebaseAuth.getPendingAuthResult();
    if (pendingResultTask != null) {
        // There's something already here! Finish the sign-in for your user.
        pendingResultTask
                .addOnSuccessListener(
                        new OnSuccessListener<AuthResult>() {
                            @Override
                            public void onSuccess(AuthResult authResult) {
                                // User is signed in.
                                // IdP data available in
                                // authResult.getAdditionalUserInfo().getProfile().
                                // The OAuth access token can also be retrieved:
                                // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                                // The OAuth secret can be retrieved by calling:
                                // ((OAuthCredential)authResult.getCredential()).getSecret().
                            }
                        })
                .addOnFailureListener(
                        new OnFailureListener() {
                            @Override
                            public void onFailure(@NonNull Exception e) {
                                // Handle failure.
                            }
                        });
    } else {
        // There's no pending result so you need to start the sign-in flow.
        // See below.
    }

    Để bắt đầu luồng đăng nhập, hãy gọi startActivityForSignInWithProvider :

    Kotlin+KTX

    firebaseAuth
        .startActivityForSignInWithProvider(activity, provider.build())
        .addOnSuccessListener {
            // User is signed in.
            // IdP data available in
            // authResult.getAdditionalUserInfo().getProfile().
            // The OAuth access token can also be retrieved:
            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
            // The OAuth secret can be retrieved by calling:
            // ((OAuthCredential)authResult.getCredential()).getSecret().
        }
        .addOnFailureListener {
            // Handle failure.
        }

    Java

    firebaseAuth
            .startActivityForSignInWithProvider(/* activity= */ this, provider.build())
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // User is signed in.
                            // IdP data available in
                            // authResult.getAdditionalUserInfo().getProfile().
                            // The OAuth access token can also be retrieved:
                            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                            // The OAuth secret can be retrieved by calling:
                            // ((OAuthCredential)authResult.getCredential()).getSecret().
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });

  5. Mặc dù các ví dụ trên tập trung vào luồng đăng nhập, bạn cũng có khả năng liên kết nhà cung cấp OIDC với người dùng hiện tại bằng cách sử dụng startActivityForLinkWithProvider . Ví dụ: bạn có thể liên kết nhiều nhà cung cấp với cùng một người dùng để cho phép họ đăng nhập bằng một trong hai nhà cung cấp đó.

    Kotlin+KTX

    // The user is already signed-in.
    val firebaseUser = firebaseAuth.currentUser!!
    firebaseUser
        .startActivityForLinkWithProvider(activity, provider.build())
        .addOnSuccessListener {
            // Provider credential is linked to the current user.
            // IdP data available in
            // authResult.getAdditionalUserInfo().getProfile().
            // The OAuth access token can also be retrieved:
            // authResult.getCredential().getAccessToken().
            // The OAuth secret can be retrieved by calling:
            // authResult.getCredential().getSecret().
        }
        .addOnFailureListener {
            // Handle failure.
        }

    Java

    // The user is already signed-in.
    FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();
    
    firebaseUser
            .startActivityForLinkWithProvider(/* activity= */ this, provider.build())
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // Provider credential is linked to the current user.
                            // IdP data available in
                            // authResult.getAdditionalUserInfo().getProfile().
                            // The OAuth access token can also be retrieved:
                            // authResult.getCredential().getAccessToken().
                            // The OAuth secret can be retrieved by calling:
                            // authResult.getCredential().getSecret().
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });

  6. Bạn có thể sử dụng mẫu tương tự với startActivityForReauthenticateWithProvider để truy xuất thông tin xác thực mới cho các hoạt động nhạy cảm yêu cầu đăng nhập gần đây.

    Kotlin+KTX

    // The user is already signed-in.
    val firebaseUser = firebaseAuth.currentUser!!
    firebaseUser
        .startActivityForReauthenticateWithProvider(activity, provider.build())
        .addOnSuccessListener {
            // User is re-authenticated with fresh tokens and
            // should be able to perform sensitive operations
            // like account deletion and email or password
            // update.
        }
        .addOnFailureListener {
            // Handle failure.
        }

    Java

    // The user is already signed-in.
    FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();
    
    firebaseUser
            .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // User is re-authenticated with fresh tokens and
                            // should be able to perform sensitive operations
                            // like account deletion and email or password
                            // update.
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });

Xử lý luồng đăng nhập theo cách thủ công

Nếu đã triển khai luồng đăng nhập OpenID Connect trong ứng dụng của mình, bạn có thể sử dụng mã thông báo ID trực tiếp để xác thực với Firebase:

Kotlin+KTX

val providerId = "oidc.example-provider" // As registered in Firebase console.
val credential = oAuthCredential(providerId) {
    setIdToken(idToken) // ID token from OpenID Connect flow.
}
Firebase.auth
    .signInWithCredential(credential)
    .addOnSuccessListener { authResult ->
        // User is signed in.

        // IdP data available in:
        //    authResult.additionalUserInfo.profile
    }
    .addOnFailureListener { e ->
        // Handle failure.
    }

Java

AuthCredential credential = OAuthProvider
        .newCredentialBuilder("oidc.example-provider")  // As registered in Firebase console.
        .setIdToken(idToken)  // ID token from OpenID Connect flow.
        .build();
FirebaseAuth.getInstance()
        .signInWithCredential(credential)
        .addOnSuccessListener(new OnSuccessListener<AuthResult>() {
            @Override
            public void onSuccess(AuthResult authResult) {
                // User is signed in.

                // IdP data available in:
                //    authResult.getAdditionalUserInfo().getProfile()
            }
        })
        .addOnFailureListener(new OnFailureListener() {
            @Override
            public void onFailure(@NonNull Exception e) {
                // Handle failure.
            }
        });

Bước tiếp theo

Sau khi người dùng đăng nhập lần đầu tiên, một tài khoản người dùng mới sẽ được tạo và liên kết với thông tin xác thực—tức là tên người dùng và mật khẩu, số điện thoại hoặc thông tin nhà cung cấp dịch vụ xác thực—mà người dùng đã đăng nhập. Tài khoản mới này được lưu trữ như một phần của dự án Firebase của bạn và có thể được sử dụng để xác định người dùng trên mọi ứng dụng trong dự án của bạn, bất kể người dùng đăng nhập bằng cách nào.

  • Trong ứng dụng của mình, bạn có thể lấy thông tin hồ sơ cơ bản của người dùng từ đối tượng FirebaseUser . Xem Quản lý người dùng .

  • Trong Quy tắc bảo mật cơ sở dữ liệu thời gian thực và lưu trữ đám mây của Firebase, bạn có thể lấy ID người dùng duy nhất của người dùng đã đăng nhập từ biến auth và sử dụng nó để kiểm soát dữ liệu nào người dùng có thể truy cập.

Bạn có thể cho phép người dùng đăng nhập vào ứng dụng của mình bằng nhiều nhà cung cấp xác thực bằng cách liên kết thông tin xác thực của nhà cung cấp xác thực với tài khoản người dùng hiện có.

Để đăng xuất người dùng, hãy gọi signOut :

Kotlin+KTX

Firebase.auth.signOut()

Java

FirebaseAuth.getInstance().signOut();