ตรวจสอบสิทธิ์โดยใช้ Apple และ C++

คุณสามารถให้ผู้ใช้ตรวจสอบสิทธิ์กับ Firebase โดยใช้ Apple ID โดยใช้ Firebase SDK เพื่อดำเนินการขั้นตอนการลงชื่อเข้าใช้ OAuth 2.0 จากต้นทางถึงปลายทาง

ก่อนที่คุณจะเริ่มต้น

ในการลงชื่อเข้าใช้ผู้ใช้โดยใช้ Apple ก่อนอื่นให้กำหนดค่าลงชื่อเข้าใช้ด้วย Apple บนเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Apple จากนั้นเปิดใช้งาน Apple เป็นผู้ให้บริการลงชื่อเข้าใช้สำหรับโปรเจ็กต์ Firebase ของคุณ

เข้าร่วมโปรแกรมนักพัฒนาของ Apple

การลงชื่อเข้าใช้ด้วย Apple สามารถกำหนดค่าได้โดยสมาชิกของ Apple Developer Program เท่านั้น

กำหนดค่าการลงชื่อเข้าใช้ด้วย Apple

ต้องเปิดใช้งานการลงชื่อเข้าใช้ Apple และกำหนดค่าอย่างถูกต้องในโครงการ Firebase ของคุณ การกำหนดค่าแตกต่างกันไปตามแพลตฟอร์ม Android และ Apple โปรดปฏิบัติตามส่วน "กำหนดค่าการลงชื่อเข้าใช้ด้วย Apple" ของ แพลตฟอร์ม Apple และ/หรือคู่มือ Android ก่อนดำเนินการต่อ

เปิดใช้งาน Apple เป็นผู้ให้บริการลงชื่อเข้าใช้

  1. ใน คอนโซล Firebase ให้เปิดส่วน การรับรองความถูกต้อง บนแท็บ วิธีการลงชื่อเข้า ใช้ ให้เปิดใช้งานผู้ให้บริการ Apple
  2. กำหนดการตั้งค่าผู้ให้บริการลงชื่อเข้าใช้ Apple:
    1. หากคุณกำลังปรับใช้แอปของคุณบนแพลตฟอร์มของ Apple เท่านั้น คุณสามารถเว้นฟิลด์ Service ID, Apple Team ID, รหัสส่วนตัว และรหัสคีย์ว่างได้
    2. สำหรับการสนับสนุนบนอุปกรณ์ Android:
      1. เพิ่ม Firebase ในโครงการ Android ของคุณ อย่าลืมลงทะเบียนลายเซ็น SHA-1 ของแอปเมื่อคุณตั้งค่าแอปในคอนโซล Firebase
      2. ใน คอนโซล Firebase ให้เปิดส่วน การรับรองความถูกต้อง บนแท็บ วิธีการลงชื่อเข้า ใช้ ให้เปิดใช้งานผู้ให้บริการ Apple ระบุรหัสบริการที่คุณสร้างในส่วนก่อนหน้า นอกจากนี้ ในส่วนการกำหนดค่าโฟลว์โค้ด OAuth ให้ระบุ Apple Team ID ของคุณและคีย์ส่วนตัวและรหัสคีย์ที่คุณสร้างในส่วนก่อนหน้า

ปฏิบัติตามข้อกำหนดข้อมูลที่ไม่ระบุตัวตนของ Apple

การลงชื่อเข้าใช้ด้วย Apple ช่วยให้ผู้ใช้มีตัวเลือกในการปกปิดข้อมูลของตน รวมถึงที่อยู่อีเมลเมื่อลงชื่อเข้าใช้ ผู้ใช้ที่เลือกตัวเลือกนี้จะมีที่อยู่อีเมลที่มีโดเมน privaterelay.appleid.com เมื่อคุณใช้การลงชื่อเข้าด้วย Apple ในแอพของคุณ คุณต้องปฏิบัติตามนโยบายหรือข้อกำหนดสำหรับนักพัฒนาที่เกี่ยวข้องใดๆ จาก Apple เกี่ยวกับ Apple ID ที่ไม่ระบุตัวตนเหล่านี้

ซึ่งรวมถึงการได้รับความยินยอมจากผู้ใช้ที่จำเป็นก่อนที่คุณจะเชื่อมโยงข้อมูลส่วนตัวที่ระบุโดยตรงกับ Apple ID ที่ไม่ระบุตัวตน เมื่อใช้ Firebase Authentication อาจรวมถึงการดำเนินการต่อไปนี้:

  • เชื่อมโยงที่อยู่อีเมลกับ Apple ID ที่ไม่ระบุตัวตนหรือในทางกลับกัน
  • เชื่อมโยงหมายเลขโทรศัพท์กับ Apple ID ที่ไม่ระบุตัวตนหรือในทางกลับกัน
  • เชื่อมโยงข้อมูลประจำตัวทางสังคมที่ไม่ระบุตัวตน (Facebook, Google ฯลฯ) กับ Apple ID ที่ไม่ระบุตัวตนหรือในทางกลับกัน

รายการข้างต้นไม่ครบถ้วนสมบูรณ์ โปรดดูข้อตกลงสิทธิ์การใช้งานโปรแกรมนักพัฒนาซอฟต์แวร์ของ Apple ในส่วนการเป็นสมาชิกของบัญชีนักพัฒนาของคุณเพื่อให้แน่ใจว่าแอปของคุณเป็นไปตามข้อกำหนดของ Apple

เข้าถึงคลาส firebase::auth::Auth

คลาส Auth เป็นเกตเวย์สำหรับการเรียก API ทั้งหมด
  1. เพิ่มไฟล์ส่วนหัวของ Auth และ App:
    #include "firebase/app.h"
    #include "firebase/auth.h"
    
  2. ในโค้ดเริ่มต้นของคุณ ให้สร้างคลาส firebase::App
    #if defined(__ANDROID__)
      firebase::App* app =
          firebase::App::Create(firebase::AppOptions(), my_jni_env, my_activity);
    #else
      firebase::App* app = firebase::App::Create(firebase::AppOptions());
    #endif  // defined(__ANDROID__)
    
  3. รับคลาส firebase::auth::Auth สำหรับ firebase::App ของคุณ มีการแมปแบบหนึ่งต่อหนึ่งระหว่าง App และ Auth
    firebase::auth::Auth* auth = firebase::auth::Auth::GetAuth(app);
    

จัดการขั้นตอนการลงชื่อเข้าใช้ด้วย Firebase SDK

ขั้นตอนการลงชื่อเข้าใช้ด้วย Apple จะแตกต่างกันไปตามแพลตฟอร์มของ Apple และ Android

บนแพลตฟอร์มของ Apple

ตรวจสอบผู้ใช้ของคุณด้วย Firebase ผ่าน Apple Sign In Objective-C SDK ที่เรียกใช้จากโค้ด C++ ของคุณ

  1. สำหรับทุกคำขอลงชื่อเข้าใช้ ให้สร้างสตริงแบบสุ่ม ซึ่งก็คือ "nonce" ซึ่งคุณจะใช้เพื่อให้แน่ใจว่าโทเค็น ID ที่คุณได้รับนั้นได้รับโดยเฉพาะเพื่อตอบสนองคำขอการตรวจสอบสิทธิ์ของแอป ขั้นตอนนี้มีความสำคัญในการป้องกันการโจมตีซ้ำ

      - (NSString *)randomNonce:(NSInteger)length {
        NSAssert(length > 0, @"Expected nonce to have positive length");
        NSString *characterSet = @"0123456789ABCDEFGHIJKLMNOPQRSTUVXYZabcdefghijklmnopqrstuvwxyz-._";
        NSMutableString *result = [NSMutableString string];
        NSInteger remainingLength = length;
    
        while (remainingLength > 0) {
          NSMutableArray *randoms = [NSMutableArray arrayWithCapacity:16];
          for (NSInteger i = 0; i < 16; i++) {
            uint8_t random = 0;
            int errorCode = SecRandomCopyBytes(kSecRandomDefault, 1, &random);
            NSAssert(errorCode == errSecSuccess, @"Unable to generate nonce: OSStatus %i", errorCode);
    
            [randoms addObject:@(random)];
          }
    
          for (NSNumber *random in randoms) {
            if (remainingLength == 0) {
              break;
            }
    
            if (random.unsignedIntValue < characterSet.length) {
              unichar character = [characterSet characterAtIndex:random.unsignedIntValue];
              [result appendFormat:@"%C", character];
              remainingLength--;
            }
          }
        }
      }
    
    

    คุณจะส่งแฮช SHA256 ของ nonce ไปพร้อมกับคำขอลงชื่อเข้าใช้ ซึ่ง Apple จะตอบกลับโดยไม่เปลี่ยนแปลง Firebase ตรวจสอบการตอบสนองโดยแฮช nonce ดั้งเดิมและเปรียบเทียบกับค่าที่ส่งโดย Apple

  2. เริ่มขั้นตอนการลงชื่อเข้าใช้ของ Apple รวมถึงในคำขอของคุณ แฮช SHA256 ของ nonce และคลาสผู้รับมอบสิทธิ์ที่จะจัดการการตอบสนองของ Apple (ดูขั้นตอนถัดไป):

      - (void)startSignInWithAppleFlow {
        NSString *nonce = [self randomNonce:32];
        self.currentNonce = nonce;
        ASAuthorizationAppleIDProvider *appleIDProvider = [[ASAuthorizationAppleIDProvider alloc] init];
        ASAuthorizationAppleIDRequest *request = [appleIDProvider createRequest];
        request.requestedScopes = @[ASAuthorizationScopeFullName, ASAuthorizationScopeEmail];
        request.nonce = [self stringBySha256HashingString:nonce];
    
        ASAuthorizationController *authorizationController =
            [[ASAuthorizationController alloc] initWithAuthorizationRequests:@[request]];
        authorizationController.delegate = self;
        authorizationController.presentationContextProvider = self;
        [authorizationController performRequests];
      }
    
      - (NSString *)stringBySha256HashingString:(NSString *)input {
        const char *string = [input UTF8String];
        unsigned char result[CC_SHA256_DIGEST_LENGTH];
        CC_SHA256(string, (CC_LONG)strlen(string), result);
    
        NSMutableString *hashed = [NSMutableString stringWithCapacity:CC_SHA256_DIGEST_LENGTH * 2];
        for (NSInteger i = 0; i < CC_SHA256_DIGEST_LENGTH; i++) {
          [hashed appendFormat:@"%02x", result[i]];
        }
        return hashed;
      }
    
  3. จัดการการตอบสนองของ Apple ในการใช้งาน ASAuthorizationControllerDelegate` หากการลงชื่อเข้าใช้สำเร็จ ให้ใช้โทเค็น ID จากการตอบสนองของ Apple ที่ไม่มีแฮชเพื่อตรวจสอบสิทธิ์กับ Firebase:

      - (void)authorizationController:(ASAuthorizationController *)controller
         didCompleteWithAuthorization:(ASAuthorization *)authorization API_AVAILABLE(ios(13.0)) {
        if ([authorization.credential isKindOfClass:[ASAuthorizationAppleIDCredential class]]) {
          ASAuthorizationAppleIDCredential *appleIDCredential = authorization.credential;
          NSString *rawNonce = self.currentNonce;
          NSAssert(rawNonce != nil, @"Invalid state: A login callback was received, but no login request was sent.");
    
          if (appleIDCredential.identityToken == nil) {
            NSLog(@"Unable to fetch identity token.");
            return;
          }
    
          NSString *idToken = [[NSString alloc] initWithData:appleIDCredential.identityToken
                                                    encoding:NSUTF8StringEncoding];
          if (idToken == nil) {
            NSLog(@"Unable to serialize id token from data: %@", appleIDCredential.identityToken);
          }
        }
    
  4. ใช้สตริงโทเค็นที่เป็นผลลัพธ์และ nonce ดั้งเดิมเพื่อสร้างข้อมูลรับรอง Firebase และลงชื่อเข้าใช้ Firebase

    firebase::auth::OAuthProvider::GetCredential(
            /*provider_id=*/"apple.com", token, nonce,
            /*access_token=*/nullptr);
    
    firebase::Future<firebase::auth::AuthResult> result =
        auth->SignInAndRetrieveDataWithCredential(credential);
    
  5. สามารถใช้รูปแบบเดียวกันนี้กับ Reauthenticate ซึ่งสามารถใช้เพื่อดึงข้อมูลรับรองใหม่สำหรับการดำเนินการที่ละเอียดอ่อนซึ่งต้องมีการเข้าสู่ระบบล่าสุด

    firebase::Future<firebase::auth::AuthResult> result =
        user->Reauthenticate(credential);
    
  6. สามารถใช้รูปแบบเดียวกันเพื่อเชื่อมโยงบัญชีกับ Apple Sign In อย่างไรก็ตาม คุณอาจพบข้อผิดพลาดเมื่อบัญชี Firebase ที่มีอยู่เชื่อมโยงกับบัญชี Apple ที่คุณกำลังพยายามเชื่อมโยงแล้ว เมื่อสิ่งนี้เกิดขึ้น ในอนาคตจะส่งคืนสถานะ kAuthErrorCredentialAlreadyInUse และ AuthResult อาจมี credential ที่ถูกต้อง ข้อมูลประจำตัวนี้สามารถใช้เพื่อลงชื่อเข้าใช้บัญชีที่เชื่อมโยงกับ Apple ผ่าน SignInAndRetrieveDataWithCredential โดยไม่จำเป็นต้องสร้างโทเค็นการลงชื่อเข้าใช้ Apple อีกอันและไม่มีเลย

    firebase::Future<firebase::auth::AuthResult> link_result =
        auth->current_user().LinkWithCredential(credential);
    
    // To keep example simple, wait on the current thread until call completes.
    while (link_result.status() == firebase::kFutureStatusPending) {
      Wait(100);
    }
    
    // Determine the result of the link attempt
    if (link_result.error() == firebase::auth::kAuthErrorNone) {
      // user linked correctly.
    } else if (link_result.error() ==
                   firebase::auth::kAuthErrorCredentialAlreadyInUse &&
               link_result.result()
                   ->additional_user_info.updated_credential.is_valid()) {
      // Sign In with the new credential
      firebase::Future<firebase::auth::AuthResult> result =
          auth->SignInAndRetrieveDataWithCredential(
              link_result.result()->additional_user_info.updated_credential);
    } else {
      // Another link error occurred.
    }
    

บนแอนดรอยด์

บน Android ให้ตรวจสอบสิทธิ์ผู้ใช้ของคุณด้วย Firebase โดยการรวมการเข้าสู่ระบบ OAuth ทั่วไปบนเว็บเข้ากับแอปของคุณโดยใช้ Firebase SDK เพื่อดำเนินการขั้นตอนการลงชื่อเข้าใช้ตั้งแต่ต้นจนจบ

หากต้องการจัดการขั้นตอนการลงชื่อเข้าใช้ด้วย Firebase SDK ให้ทำตามขั้นตอนเหล่านี้:

  1. สร้างอินสแตนซ์ของ FederatedOAuthProviderData ที่กำหนดค่าด้วย ID ผู้ให้บริการที่เหมาะสมสำหรับ Apple

    firebase::auth::FederatedOAuthProviderData provider_data("apple.com");
    
  2. ทางเลือก: ระบุขอบเขต OAuth 2.0 เพิ่มเติมนอกเหนือจากค่าเริ่มต้นที่คุณต้องการร้องขอจากผู้ให้บริการตรวจสอบความถูกต้อง

    provider_data.scopes.push_back("email");
    provider_data.scopes.push_back("name");
    
  3. ทางเลือก: หากคุณต้องการแสดงหน้าจอลงชื่อเข้าใช้ของ Apple ในภาษาอื่นที่ไม่ใช่ภาษาอังกฤษ ให้ตั้งค่าพารามิเตอร์ locale ดูเอกสาร ลงชื่อเข้าใช้ด้วย Apple สำหรับภาษาที่รองรับ

    // Localize to French.
    provider_data.custom_parameters["language"] = "fr";
    ```
    
  4. เมื่อข้อมูลผู้ให้บริการของคุณได้รับการกำหนดค่าแล้ว ให้ใช้เพื่อสร้าง FederatedOAuthProvider

    // Construct a FederatedOAuthProvider for use in Auth methods.
    firebase::auth::FederatedOAuthProvider provider(provider_data);
    
  5. รับรองความถูกต้องด้วย Firebase โดยใช้วัตถุผู้ให้บริการรับรองความถูกต้อง โปรดทราบว่าไม่เหมือนกับการดำเนินการ FirebaseAuth อื่นๆ ซึ่งจะควบคุม UI ของคุณโดยเปิดมุมมองเว็บขึ้นมาซึ่งผู้ใช้สามารถป้อนข้อมูลประจำตัวของตนได้

    หากต้องการเริ่มขั้นตอนการลงชื่อเข้าใช้ ให้โทรหา signInWithProvider :

    firebase::Future<firebase::auth::AuthResult> result =
      auth->SignInWithProvider(provider_data);
    

    แอปพลิเคชันของคุณอาจรอหรือ ลงทะเบียนการติดต่อกลับในอนาคต

  6. สามารถใช้รูปแบบเดียวกันนี้กับ ReauthenticateWithProvider ซึ่งสามารถใช้เพื่อดึงข้อมูลรับรองใหม่สำหรับการดำเนินการที่ละเอียดอ่อนซึ่งต้องมีการเข้าสู่ระบบล่าสุด

    firebase::Future<firebase::auth::AuthResult> result =
      user.ReauthenticateWithProvider(provider_data);
    

    แอปพลิเคชันของคุณอาจรอหรือ ลงทะเบียนการติดต่อกลับในอนาคต

  7. และคุณสามารถใช้ LinkWithCredential() เพื่อเชื่อมโยงผู้ให้บริการข้อมูลประจำตัวต่างๆ กับบัญชีที่มีอยู่

    โปรดทราบว่า Apple กำหนดให้คุณต้องได้รับความยินยอมอย่างชัดแจ้งจากผู้ใช้ก่อนที่จะเชื่อมโยงบัญชี Apple ของพวกเขากับข้อมูลอื่นๆ

    ตัวอย่างเช่น หากต้องการเชื่อมโยงบัญชี Facebook กับบัญชี Firebase ปัจจุบัน ให้ใช้โทเค็นการเข้าถึงที่คุณได้รับจากการลงชื่อผู้ใช้ใน Facebook:

    // Initialize a Facebook credential with a Facebook access token.
    AuthCredential credential =
        firebase::auth::FacebookAuthProvider.getCredential(token);
    
    // Assuming the current user is an Apple user linking a Facebook provider.
    firebase::Future<firebase::auth::AuthResult> result =
        auth.current_user().LinkWithCredential(credential);
    

ลงชื่อเข้าใช้ด้วย Apple Notes

ซึ่งแตกต่างจากผู้ให้บริการรายอื่นที่ Firebase Auth รองรับ Apple ไม่ได้ให้ URL รูปภาพ

นอกจากนี้ เมื่อผู้ใช้เลือกที่จะไม่แชร์อีเมลของตนกับแอพ Apple จะจัดเตรียมที่อยู่อีเมลเฉพาะสำหรับผู้ใช้นั้น (ในรูปแบบ xyz@privaterelay.appleid.com ) ซึ่งจะแชร์กับแอพของคุณ หากคุณกำหนดค่าบริการส่งต่ออีเมลส่วนตัว Apple จะส่งต่ออีเมลที่ส่งไปยังที่อยู่ที่ไม่ระบุตัวตนไปยังที่อยู่อีเมลจริงของผู้ใช้

Apple แชร์เฉพาะข้อมูลผู้ใช้ เช่น ชื่อที่แสดงกับแอพในครั้งแรกที่ผู้ใช้ลงชื่อเข้าใช้ โดยปกติแล้ว Firebase จะจัดเก็บชื่อที่แสดงในครั้งแรกที่ผู้ใช้ลงชื่อเข้าใช้ด้วย Apple ซึ่งคุณจะได้รับจาก current_user().display_name() อย่างไรก็ตาม หากก่อนหน้านี้คุณใช้ Apple เพื่อลงชื่อผู้ใช้ในแอปโดยไม่ใช้ Firebase Apple จะไม่ให้ชื่อที่แสดงของผู้ใช้แก่ Firebase

ขั้นตอนถัดไป

หลังจากที่ผู้ใช้ลงชื่อเข้าใช้เป็นครั้งแรก บัญชีผู้ใช้ใหม่จะถูกสร้างขึ้นและเชื่อมโยงกับข้อมูลประจำตัว ซึ่งก็คือชื่อผู้ใช้และรหัสผ่าน หมายเลขโทรศัพท์ หรือข้อมูลผู้ให้บริการตรวจสอบสิทธิ์ ซึ่งผู้ใช้ลงชื่อเข้าใช้ด้วย บัญชีใหม่นี้จัดเก็บเป็นส่วนหนึ่งของโปรเจ็กต์ Firebase และสามารถใช้ระบุผู้ใช้ในทุกแอปในโครงการ ไม่ว่าผู้ใช้จะลงชื่อเข้าใช้ด้วยวิธีใดก็ตาม

ในแอปของคุณ คุณสามารถรับข้อมูลโปรไฟล์พื้นฐานของผู้ใช้ได้จาก firebase::auth::User object ดู จัดการผู้ใช้

ในกฎความปลอดภัยของ Firebase Realtime Database และ Cloud Storage คุณสามารถรับ ID ผู้ใช้ที่ไม่ซ้ำกันของผู้ใช้ที่ลงชื่อเข้าใช้จากตัวแปรรับรองความถูกต้อง และใช้เพื่อควบคุมข้อมูลที่ผู้ใช้สามารถเข้าถึงได้