Authentifizieren Sie sich mit Microsoft und C++

Sie können Ihre Benutzer mithilfe von OAuth-Anbietern wie Microsoft Azure Active Directory bei Firebase authentifizieren lassen, indem Sie die webbasierte generische OAuth-Anmeldung mithilfe des Firebase SDK in Ihre App integrieren, um den End-to-End-Anmeldeablauf durchzuführen. Da dieser Flow die Verwendung der telefonbasierten Firebase SDKs erfordert, wird er nur auf Android- und Apple-Plattformen unterstützt.

Bevor Sie beginnen

1. Fügen Sie Ihrem C++-Projekt Firebase hinzu .
2. Öffnen Sie in der Firebase-Konsole den Abschnitt Auth .
3. Aktivieren Sie auf der Registerkarte Anmeldemethode den Microsoft- Anbieter.
4. Fügen Sie die Client-ID und das Client-Geheimnis aus der Entwicklerkonsole dieses Anbieters zur Anbieterkonfiguration hinzu:
   1. Um einen Microsoft-OAuth-Client zu registrieren, befolgen Sie die Anweisungen in Schnellstart: App beim Azure Active Directory v2.0-Endpunkt registrieren . Beachten Sie, dass dieser Endpunkt die Anmeldung mit persönlichen Microsoft-Konten sowie mit Azure Active Directory-Konten unterstützt. Erfahren Sie mehr über Azure Active Directory v2.0.
   2. Achten Sie beim Registrieren von Apps bei diesen Anbietern darauf, die Domäne *.firebaseapp.com für Ihr Projekt als Umleitungsdomäne für Ihre App zu registrieren.
5. Klicken Sie auf Speichern .

Greifen Sie auf die Klasse firebase::auth::Auth zu

Die Auth Klasse ist das Gateway für alle API-Aufrufe.

1. Fügen Sie die Auth- und App-Header-Dateien hinzu:

   #include "firebase/app.h"
   #include "firebase/auth.h"
   

2. Erstellen Sie in Ihrem Initialisierungscode eine firebase::App Klasse.

   #if defined(__ANDROID__)
     firebase::App* app =
         firebase::App::Create(firebase::AppOptions(), my_jni_env, my_activity);
   #else
     firebase::App* app = firebase::App::Create(firebase::AppOptions());
   #endif  // defined(__ANDROID__)
   

3. Erwerben Sie die Klasse firebase::auth::Auth für Ihre firebase::App . Es gibt eine Eins-zu-Eins-Zuordnung zwischen App und Auth .

   firebase::auth::Auth* auth = firebase::auth::Auth::GetAuth(app);
   

Behandeln Sie den Anmeldevorgang mit dem Firebase SDK

Führen Sie die folgenden Schritte aus, um den Anmeldevorgang mit dem Firebase SDK zu verarbeiten:

1. Erstellen Sie eine Instanz von FederatedOAuthProviderData , die mit der für Microsoft geeigneten Anbieter-ID konfiguriert ist.

   firebase::auth::FederatedOAuthProviderData
       provider_data(firebase::auth::MicrosoftAuthProvider::kProviderId);
   

2. Optional : Geben Sie zusätzliche benutzerdefinierte OAuth-Parameter an, die Sie mit der OAuth-Anforderung senden möchten.

   // Prompt user to re-authenticate to Microsoft.
   provider_data.custom_parameters["prompt"] = "login";
   
   // Target specific email with login hint.
   provider_data.custom_parameters["login_hint"] =
       "user@firstadd.onmicrosoft.com";
   

   Informationen zu den von Microsoft unterstützten Parametern finden Sie in der Microsoft OAuth-Dokumentation . Beachten Sie, dass Sie für Firebase erforderliche Parameter nicht mit setCustomParameters() übergeben können. Diese Parameter sind client_id , response_type , redirect_uri , state , scope und response_mode .

   Damit sich nur Benutzer eines bestimmten Azure AD-Mandanten bei der Anwendung anmelden können, kann entweder der benutzerfreundliche Domänenname des Azure AD-Mandanten oder der GUID-Bezeichner des Mandanten verwendet werden. Dies kann durch Angabe des Felds „Mandant“ im benutzerdefinierten Parameterobjekt erfolgen.

   // Optional "tenant" parameter in case you are using an Azure AD tenant.
   // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
   // or "common" for tenant-independent tokens.
   // The default value is "common".
   provider_data.custom_parameters["tenant"] ="TENANT_ID";
   

3. Optional : Geben Sie zusätzliche OAuth 2.0-Bereiche über das Basisprofil hinaus an, die Sie vom Authentifizierungsanbieter anfordern möchten.

   provider_data.scopes.push_back("mail.read");
   provider_data.scopes.push_back("calendars.read");
   

   Weitere Informationen finden Sie in der Microsoft-Dokumentation zu Berechtigungen und Zustimmung .

4. Sobald Ihre Anbieterdaten konfiguriert sind, verwenden Sie sie, um einen FederatedOAuthProvider zu erstellen.

   // Construct a FederatedOAuthProvider for use in Auth methods.
   firebase::auth::FederatedOAuthProvider provider(provider_data);
   

5. Authentifizieren Sie sich bei Firebase mithilfe des Auth-Anbieterobjekts. Beachten Sie, dass dies im Gegensatz zu anderen FirebaseAuth-Vorgängen die Kontrolle über Ihre Benutzeroberfläche übernimmt, indem eine Webansicht angezeigt wird, in der der Benutzer seine Anmeldeinformationen eingeben kann.

   Um den Anmeldeablauf zu starten, rufen Sie SignInWithProvider auf:

   firebase::Future<firebase::auth::AuthResult> result =
     auth->SignInWithProvider(provider_data);
   

   Ihre Anwendung kann dann warten oder einen Rückruf auf dem Future registrieren .

   Mit dem OAuth-Zugriffstoken können Sie die Microsoft Graph-API aufrufen.

   Im Gegensatz zu anderen Anbietern, die von Firebase Auth unterstützt werden, stellt Microsoft keine Foto-URL bereit, sondern die binären Daten für ein Profilfoto müssen über die Microsoft Graph-API angefordert werden.

6. Während sich die obigen Beispiele auf Anmeldeabläufe konzentrieren, haben Sie auch die Möglichkeit, einen Microsoft Azure Active Directory-Anbieter mithilfe von LinkWithProvider mit einem vorhandenen Benutzer zu verknüpfen. Beispielsweise können Sie mehrere Anbieter mit demselben Benutzer verknüpfen, sodass er sich bei beiden anmelden kann.

   firebase::Future<firebase::auth::AuthResult> result = user.LinkWithProvider(provider_data);
   

7. Dasselbe Muster kann mit ReauthenticateWithProvider verwendet werden, das verwendet werden kann, um neue Anmeldeinformationen für vertrauliche Vorgänge abzurufen, die eine kürzlich erfolgte Anmeldung erfordern.

   firebase::Future<firebase::auth::AuthResult> result =
     user.ReauthenticateWithProvider(provider_data);
   

   Ihre Anwendung kann dann warten oder einen Rückruf auf dem Future registrieren .

Erweitert: Behandeln Sie den Anmeldefluss manuell

Im Gegensatz zu anderen von Firebase unterstützten OAuth-Anbietern wie Google, Facebook und Twitter, bei denen die Anmeldung direkt mit OAuth-Zugriffstoken-basierten Anmeldeinformationen erfolgen kann, unterstützt Firebase Auth nicht die gleiche Funktion für Anbieter wie Microsoft aufgrund der Unfähigkeit der Firebase-Authentifizierungsserver zum Überprüfen der Zielgruppe von Microsoft OAuth-Zugriffstoken. Dies ist eine kritische Sicherheitsanforderung und könnte Anwendungen und Websites Replay-Angriffen aussetzen, bei denen ein Microsoft OAuth-Zugriffstoken, das für ein Projekt (Angreifer) erhalten wurde, verwendet werden kann, um sich bei einem anderen Projekt (Opfer) anzumelden. Stattdessen bietet Firebase Auth die Möglichkeit, den gesamten OAuth-Fluss und den Autorisierungscode-Austausch mithilfe der in der Firebase-Konsole konfigurierten OAuth-Client-ID und dem geheimen Schlüssel abzuwickeln. Da der Autorisierungscode nur in Verbindung mit einer bestimmten Client-ID/geheimem Schlüssel verwendet werden kann, kann ein für ein Projekt erworbener Autorisierungscode nicht für ein anderes verwendet werden.

Wenn diese Anbieter in nicht unterstützten Umgebungen verwendet werden müssen, müssen eine OAuth-Bibliothek eines Drittanbieters und eine benutzerdefinierte Firebase-Authentifizierung verwendet werden. Ersteres wird benötigt, um sich beim Anbieter zu authentifizieren, und letzteres, um die Anmeldeinformationen des Anbieters gegen ein benutzerdefiniertes Token auszutauschen.

Nächste Schritte

Nachdem sich ein Benutzer zum ersten Mal angemeldet hat, wird ein neues Benutzerkonto erstellt und mit den Anmeldeinformationen verknüpft – d. h. dem Benutzernamen und Kennwort, der Telefonnummer oder den Authentifizierungsanbieterinformationen –, mit denen sich der Benutzer angemeldet hat. Dieses neue Konto wird als Teil Ihres Firebase-Projekts gespeichert und kann verwendet werden, um einen Benutzer in jeder App in Ihrem Projekt zu identifizieren, unabhängig davon, wie sich der Benutzer anmeldet.

• In Ihren Apps können Sie die grundlegenden Profilinformationen des Benutzers aus dem Objekt firebase::auth::User abrufen:

  firebase::auth::User user = auth->current_user();
  if (user.is_valid()) {
    std::string name = user.display_name();
    std::string email = user.email();
    std::string photo_url = user.photo_url();
    // The user's ID, unique to the Firebase project.
    // Do NOT use this value to authenticate with your backend server,
    // if you have one. Use firebase::auth::User::Token() instead.
    std::string uid = user.uid();
  }
  

• In Ihren Sicherheitsregeln für die Firebase-Echtzeitdatenbank und den Cloud-Speicher können Sie die eindeutige Benutzer-ID des angemeldeten Benutzers aus der Variablen auth abrufen und damit steuern, auf welche Daten ein Benutzer zugreifen kann.

Sie können Benutzern erlauben, sich mit mehreren Authentifizierungsanbietern bei Ihrer App anzumelden, indem Sie die Anmeldeinformationen des Authentifizierungsanbieters mit einem vorhandenen Benutzerkonto verknüpfen.

Um einen Benutzer abzumelden, rufen Sie SignOut() auf:

auth->SignOut();