Authentification avec Apple et C++

Vous pouvez autoriser vos utilisateurs à s'authentifier auprès de Firebase à l'aide de leur identifiant Apple en utilisant le SDK Firebase pour effectuer le flux de connexion OAuth 2.0 de bout en bout.

Avant que tu commences

Pour connecter les utilisateurs à l'aide d'Apple, configurez d'abord la connexion avec Apple sur le site des développeurs d'Apple, puis activez Apple en tant que fournisseur de connexion pour votre projet Firebase.

Rejoignez le programme pour développeurs Apple

Connectez - vous avec d' Apple ne peut être configuré par les membres du programme Apple Developer .

Configurer la connexion avec Apple

Apple Sign In doit être activé et correctement configuré dans votre projet Firebase. La configuration varie selon les plates-formes Android et iOS. S'il vous plaît suivre la « Configurer Connectez - vous avec Apple » section de l' iOS et / ou Android guides avant de poursuivre.

Activer Apple en tant que fournisseur de connexion

  1. Dans la console Firebase , ouvrez la section Auth. Sur l'onglet Connexion méthode, permettre au fournisseur d' Apple.
  2. Configurez les paramètres du fournisseur de connexion Apple :
    1. Si vous déployez votre application uniquement sur iOS, vous pouvez laisser les champs ID de service, ID d'équipe Apple, clé privée et ID de clé vides.
    2. Pour l'assistance sur les appareils Android :
      1. Ajouter Firebase à votre projet Android . Assurez-vous d'enregistrer la signature SHA-1 de votre application lorsque vous configurez votre application dans la console Firebase.
      2. Dans la console Firebase , ouvrez la section Auth. Sur l'onglet Connexion méthode, permettre au fournisseur d' Apple. Spécifiez l'ID de service que vous avez créé dans la section précédente. De plus, dans la section de configuration du flux de code OAuth, spécifiez votre identifiant d'équipe Apple ainsi que la clé privée et l'identifiant de clé que vous avez créés dans la section précédente.

Se conformer aux exigences d'Apple en matière de données anonymisées

Connectez - vous avec Apple donne aux utilisateurs la possibilité de anonymisation leurs données, y compris leur adresse e - mail, lorsque vous vous connectez. Les utilisateurs qui choisissent cette option ont des adresses e - mail avec le domaine privaterelay.appleid.com . Lorsque vous utilisez Connexion avec Apple dans votre application, vous devez vous conformer à toutes les politiques ou conditions applicables aux développeurs d'Apple concernant ces identifiants Apple anonymisés.

Cela inclut l'obtention du consentement de l'utilisateur requis avant d'associer des informations personnelles directement identifiables à un identifiant Apple anonymisé. Lorsque vous utilisez l'authentification Firebase, cela peut inclure les actions suivantes :

  • Associez une adresse e-mail à un identifiant Apple anonymisé ou vice versa.
  • Lier un numéro de téléphone à un identifiant Apple anonymisé ou vice versa
  • Associez un identifiant social non anonyme (Facebook, Google, etc.) à un identifiant Apple anonymisé ou vice versa.

La liste ci-dessus n'est pas exhaustive. Reportez-vous au contrat de licence du programme pour développeurs Apple dans la section Abonnement de votre compte développeur pour vous assurer que votre application répond aux exigences d'Apple.

Accédez au firebase::auth::Auth classe

La Auth classe est la passerelle pour tous les appels API.
  1. Ajoutez les fichiers d' en- tête et Auth App:
    #include "firebase/app.h"
    #include "firebase/auth.h"
    
  2. Dans votre code d'initialisation, créez un firebase::App classe.
    #if defined(__ANDROID__)
      firebase::App* app =
          firebase::App::Create(firebase::AppOptions(), my_jni_env, my_activity);
    #else
      firebase::App* app = firebase::App::Create(firebase::AppOptions());
    #endif  // defined(__ANDROID__)
    
  3. Acquérir les firebase::auth::Auth classe pour votre firebase::App . Il y a un à un entre les App et Auth .
    firebase::auth::Auth* auth = firebase::auth::Auth::GetAuth(app);
    

Gérer le flux de connexion avec le SDK Firebase

Le processus de connexion avec Apple varie selon les plates-formes iOS et Android.

Sur iOS

Authentifiez vos utilisateurs avec Firebase via Apple Sign In Objective-C SDK invoqué à partir de votre code C++.

  1. Pour chaque demande de connexion, générez une chaîne aléatoire, un "nonce", que vous utiliserez pour vous assurer que le jeton d'identification que vous obtenez a été accordé spécifiquement en réponse à la demande d'authentification de votre application. Cette étape est importante pour empêcher les attaques par rejeu.

      - (NSString *)randomNonce:(NSInteger)length {
        NSAssert(length > 0, @"Expected nonce to have positive length");
        NSString *characterSet = @"0123456789ABCDEFGHIJKLMNOPQRSTUVXYZabcdefghijklmnopqrstuvwxyz-._";
        NSMutableString *result = [NSMutableString string];
        NSInteger remainingLength = length;
    
        while (remainingLength > 0) {
          NSMutableArray *randoms = [NSMutableArray arrayWithCapacity:16];
          for (NSInteger i = 0; i < 16; i++) {
            uint8_t random = 0;
            int errorCode = SecRandomCopyBytes(kSecRandomDefault, 1, &random);
            NSAssert(errorCode == errSecSuccess, @"Unable to generate nonce: OSStatus %i", errorCode);
    
            [randoms addObject:@(random)];
          }
    
          for (NSNumber *random in randoms) {
            if (remainingLength == 0) {
              break;
            }
    
            if (random.unsignedIntValue < characterSet.length) {
              unichar character = [characterSet characterAtIndex:random.unsignedIntValue];
              [result appendFormat:@"%C", character];
              remainingLength--;
            }
          }
        }
      }
    
    

    Vous enverrez le hachage SHA256 du nonce avec votre demande de connexion, qu'Apple transmettra tel quel dans la réponse. Firebase valide la réponse en hachant le nonce d'origine et en le comparant à la valeur transmise par Apple.

  2. Démarrez le flux de connexion d'Apple, en incluant dans votre demande le hachage SHA256 du nonce et la classe déléguée qui gérera la réponse d'Apple (voir l'étape suivante) :

      - (void)startSignInWithAppleFlow {
        NSString *nonce = [self randomNonce:32];
        self.currentNonce = nonce;
        ASAuthorizationAppleIDProvider *appleIDProvider = [[ASAuthorizationAppleIDProvider alloc] init];
        ASAuthorizationAppleIDRequest *request = [appleIDProvider createRequest];
        request.requestedScopes = @[ASAuthorizationScopeFullName, ASAuthorizationScopeEmail];
        request.nonce = [self stringBySha256HashingString:nonce];
    
        ASAuthorizationController *authorizationController =
            [[ASAuthorizationController alloc] initWithAuthorizationRequests:@[request]];
        authorizationController.delegate = self;
        authorizationController.presentationContextProvider = self;
        [authorizationController performRequests];
      }
    
      - (NSString *)stringBySha256HashingString:(NSString *)input {
        const char *string = [input UTF8String];
        unsigned char result[CC_SHA256_DIGEST_LENGTH];
        CC_SHA256(string, (CC_LONG)strlen(string), result);
    
        NSMutableString *hashed = [NSMutableString stringWithCapacity:CC_SHA256_DIGEST_LENGTH * 2];
        for (NSInteger i = 0; i < CC_SHA256_DIGEST_LENGTH; i++) {
          [hashed appendFormat:@"%02x", result[i]];
        }
        return hashed;
      }
    
  3. Gérez la réponse d'Apple dans votre implémentation de ASAuthorizationControllerDelegate`. Si la connexion a réussi, utilisez le jeton d'identification de la réponse d'Apple avec le nonce non haché pour vous authentifier avec Firebase :

      - (void)authorizationController:(ASAuthorizationController *)controller
         didCompleteWithAuthorization:(ASAuthorization *)authorization API_AVAILABLE(ios(13.0)) {
        if ([authorization.credential isKindOfClass:[ASAuthorizationAppleIDCredential class]]) {
          ASAuthorizationAppleIDCredential *appleIDCredential = authorization.credential;
          NSString *rawNonce = self.currentNonce;
          NSAssert(rawNonce != nil, @"Invalid state: A login callback was received, but no login request was sent.");
    
          if (appleIDCredential.identityToken == nil) {
            NSLog(@"Unable to fetch identity token.");
            return;
          }
    
          NSString *idToken = [[NSString alloc] initWithData:appleIDCredential.identityToken
                                                    encoding:NSUTF8StringEncoding];
          if (idToken == nil) {
            NSLog(@"Unable to serialize id token from data: %@", appleIDCredential.identityToken);
          }
        }
    
  4. Utilisez la chaîne de jeton résultante et le nonce d'origine pour créer un identifiant Firebase et vous connecter à Firebase.

    firebase::auth::OAuthProvider::GetCredential(
            /*provider_id=*/"apple.com", token, nonce,
            /*access_token=*/nullptr);
    
    firebase::Future<firebase::auth::User*> result =
        auth->SignInWithCredential(credential);
    
  5. Le même modèle peut être utilisé avec Reauthenticate qui peut être utilisé pour récupérer des informations d' identification frais pour les opérations sensibles qui exigent une connexion récente.

    firebase::Future<firebase::auth::SignInResult> result =
        user->Reauthenticate(credential);
    
  6. Le même modèle peut être utilisé pour lier un compte avec Apple Sign In. Cependant, vous pouvez rencontrer une erreur lorsqu'un compte Firebase existant a déjà été lié au compte Apple avec lequel vous essayez de vous lier. Lorsque cela se produit l'avenir retournera un statut de kAuthErrorCredentialAlreadyInUse et l'objet UserInfo du SignInResult peut contenir un valide updated_credential . Ce titre peut être utilisé pour se connecter au compte lié d' Apple via SignInWithCredential sans avoir besoin de générer un autre signe d' Apple en jeton et nonce.

    Notez que vous devez utiliser LinkAndRetrieveDataWithCredential pour cette opération pour contenir les informations d' identification comme updated_credential est membre du SignInResult.UserInfo objet.

    firebase::Future<firebase::auth::SignInResult> link_result =
        auth->current_user()->LinkAndRetrieveDataWithCredential(credential);
    
    // To keep example simple, wait on the current thread until call completes.
    while (link_result.status() == firebase::kFutureStatusPending) {
      Wait(100);
    }
    
    // Determine the result of the link attempt
    if (link_result.error() == firebase::auth::kAuthErrorNone) {
      // user linked correctly.
    } else if (link_result.error() ==
                   firebase::auth::kAuthErrorCredentialAlreadyInUse &&
               link_result.result()->info.updated_credential.is_valid()) {
      // Sign In with the new credential
      firebase::Future<firebase::auth::User*> result = auth->SignInWithCredential(
          link_result.result()->info.updated_credential);
    } else {
      // Another link error occurred.
    }
    

Sur Android

Sur Android, authentifiez vos utilisateurs avec Firebase en intégrant la connexion OAuth générique basée sur le Web dans votre application à l'aide du SDK Firebase pour effectuer le flux de connexion de bout en bout.

Pour gérer le flux de connexion avec le SDK Firebase, procédez comme suit :

  1. Construire une instance d'un FederatedOAuthProviderData configuré avec l'ID de fournisseur approprié pour Apple.

    firebase::auth::FederatedOAuthProviderData provider_data("apple.com");
    
  2. Facultatif: Spécifiez OAuth 2.0 supplémentaires portées au - delà de la valeur par défaut que vous voulez la demande du fournisseur d'authentification.

    provider_data.scopes.push_back("email");
    provider_data.scopes.push_back("name");
    
  3. Facultatif: Si vous voulez afficher le signe dans l' écran d'Apple dans une langue autre que l' anglais, définissez le locale paramètre. Voir le Connectez - vous avec docs d' Apple pour les paramètres régionaux pris en charge.

    // Localize to French.
    provider_data.custom_parameters["language"] = "fr";
    ```
    
  4. Une fois les données de votre fournisseur configurées, utilisez-les pour créer un FederatedOAuthProvider.

    // Construct a FederatedOAuthProvider for use in Auth methods.
    firebase::auth::FederatedOAuthProvider provider(provider_data);
    
  5. Authentifiez-vous auprès de Firebase à l'aide de l'objet fournisseur d'authentification. Notez que contrairement aux autres opérations FirebaseAuth, cela prendra le contrôle de votre interface utilisateur en affichant une vue Web dans laquelle l'utilisateur peut saisir ses informations d'identification.

    Pour démarrer le signe en flux, appelez signInWithProvider :

    firebase::Future<firebase::auth::SignInResult> result =
      auth->SignInWithProvider(provider_data);
    

    Votre application peut alors attendre ou enregistrer un rappel sur l'avenir .

  6. Le même modèle peut être utilisé avec ReauthenticateWithProvider qui peut être utilisé pour récupérer des informations d' identification frais pour les opérations sensibles qui exigent une connexion récente.

    firebase::Future<firebase::auth::SignInResult> result =
      user->ReauthenticateWithProvider(provider_data);
    

    Votre application peut alors attendre ou enregistrer un rappel sur l'avenir .

  7. Et, vous pouvez utiliser linkWithCredential() pour relier les différents fournisseurs d'identité aux comptes existants.

    Notez qu'Apple exige que vous obteniez le consentement explicite des utilisateurs avant de lier leurs comptes Apple à d'autres données.

    Par exemple, pour lier un compte Facebook au compte Firebase actuel, utilisez le jeton d'accès que vous avez obtenu en connectant l'utilisateur à Facebook :

    // Initialize a Facebook credential with a Facebook access token.
    AuthCredential credential =
        firebase::auth::FacebookAuthProvider.getCredential(token);
    
    // Assuming the current user is an Apple user linking a Facebook provider.
    firebase::Future<firebase::auth::SignInResult> result =
        auth.getCurrentUser().linkWithCredential(credential);
    

Connectez-vous avec Apple Notes

Contrairement aux autres fournisseurs pris en charge par Firebase Auth, Apple ne fournit pas d'URL de photo.

En outre, lorsque l'utilisateur choisit de ne pas partager leur e - mail avec l'application, les dispositions d' Apple une adresse e - mail unique pour cet utilisateur (de la forme xyz@privaterelay.appleid.com ), qu'elle partage avec votre application. Si vous avez configuré le service de relais de messagerie privé, Apple transfère les e-mails envoyés à l'adresse anonyme vers la véritable adresse e-mail de l'utilisateur.

Apple ne partage les informations utilisateur telles que le nom d'affichage avec des applications la première fois un utilisateur se connecte. Habituellement, les magasins Firebase le nom d'affichage de la première fois qu'un utilisateur se connecte avec Apple, que vous pouvez obtenir avec getCurrentUser().getDisplayName() . Cependant, si vous avez déjà utilisé Apple pour connecter un utilisateur à l'application sans utiliser Firebase, Apple ne fournira pas à Firebase le nom d'affichage de l'utilisateur.

Prochaines étapes

Une fois qu'un utilisateur se connecte pour la première fois, un nouveau compte d'utilisateur est créé et lié aux informations d'identification, c'est-à-dire le nom d'utilisateur et le mot de passe, le numéro de téléphone ou les informations du fournisseur d'autorisation, avec lesquelles l'utilisateur s'est connecté. Ce nouveau compte est stocké dans le cadre de votre projet Firebase et peut être utilisé pour identifier un utilisateur dans chaque application de votre projet, quel que soit le mode de connexion de l'utilisateur.

Dans vos applications, vous pouvez obtenir les informations de base du profil de l'utilisateur à partir de l'objet firebase::auth::user. Voir Gérer les utilisateurs .

Dans vos règles de sécurité Firebase Realtime Database et Cloud Storage, vous pouvez obtenir l'ID utilisateur unique de l'utilisateur connecté à partir de la variable auth et l'utiliser pour contrôler les données auxquelles un utilisateur peut accéder.