אימות באמצעות Microsoft ו-C++

אתם יכולים לאפשר למשתמשים לבצע אימות ב-Firebase באמצעות ספקי OAuth כמו Microsoft Azure Active Directory. לשם כך, משלבים באפליקציה כניסה גנרית מבוססת-אינטרנט באמצעות OAuth באמצעות Firebase SDK כדי לבצע את תהליך הכניסה מקצה לקצה. התהליך הזה מחייב שימוש ב-Firebase SDK לנייד, ולכן הוא נתמך רק בפלטפורמות Android ו-Apple.

לפני שמתחילים

  1. מוסיפים את Firebase לפרויקט C++‎.
  2. במסוף Firebase, פותחים את הקטע אימות.
  3. בכרטיסייה Sign in method, מפעילים את הספק Microsoft.
  4. מוסיפים את מזהה הלקוח ואת סוד הלקוח ממסוף הפיתוח של הספק להגדרות הספק:
    1. כדי לרשום לקוח OAuth של Microsoft, פועלים לפי ההוראות במאמר תחילת העבודה: רישום אפליקציה בנקודת הקצה של Azure Active Directory v2.0. חשוב לשים לב שנקודת הקצה הזו תומכת בכניסה באמצעות חשבונות Microsoft לשימוש אישי וגם באמצעות Azure חשבונות Active Directory. מידע נוסף על Azure Active Directory v2.0
    2. כשרושמים אפליקציות אצל הספקים האלה, חשוב לרשום את הדומיין *.firebaseapp.com של הפרויקט כדומיין להפניה אוטומטית של האפליקציה.
  5. לוחצים על שמירה.

גישה לכיתה firebase::auth::Auth

המחלקה Auth היא השער לכל הקריאות ל-API.
  1. מוסיפים את קובצי הכותרות של Auth ו-App:
    #include "firebase/app.h"
    #include "firebase/auth.h"
  2. בקוד האתחול, יוצרים firebase::App.
    #if defined(__ANDROID__)
      firebase::App* app =
          firebase::App::Create(firebase::AppOptions(), my_jni_env, my_activity);
    #else
      firebase::App* app = firebase::App::Create(firebase::AppOptions());
    #endif  // defined(__ANDROID__)
  3. עליך לרכוש את הכיתה firebase::auth::Auth ל-firebase::App. יש מיפוי אחד לאחד בין App לבין Auth.
    firebase::auth::Auth* auth = firebase::auth::Auth::GetAuth(app);

טיפול בתהליך הכניסה באמצעות Firebase SDK

כדי לטפל בתהליך הכניסה באמצעות Firebase SDK:

  1. בנייה של מופע של FederatedOAuthProviderData שהוגדר באמצעות מזהה הספק שמתאים ל-Microsoft.

    firebase::auth::FederatedOAuthProviderData
        provider_data(firebase::auth::MicrosoftAuthProvider::kProviderId);
    
  2. אופציונלי: מציינים פרמטרים מותאמים אישית נוספים של OAuth שרוצים להגדיר שליחה עם בקשת ה-OAuth.

    // Prompt user to re-authenticate to Microsoft.
    provider_data.custom_parameters["prompt"] = "login";
    
    // Target specific email with login hint.
    provider_data.custom_parameters["login_hint"] =
        "user@firstadd.onmicrosoft.com";
    

    למידע על הפרמטרים שנתמכים ב-Microsoft, ראו מסמכי תיעוד של Microsoft OAuth. שימו לב שאי אפשר להעביר פרמטרים שנדרשים ל-Firebase עם setCustomParameters() הפרמטרים האלה הם client_id,‏ response_type,‏ redirect_uri,‏ state,‏ scope ו-response_mode.

    כדי לאפשר רק למשתמשים מדייר מסוים ב-Azure AD להיכנס לאפליקציה, אפשר להשתמש בשם הדומיין הידידותי של הדייר ב-Azure AD או במזהה ה-GUID של הדייר. כדי לעשות זאת, אפשר לציין ה-"tenant" באובייקט של הפרמטרים המותאמים אישית.

    // Optional "tenant" parameter in case you are using an Azure AD tenant.
    // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
    // or "common" for tenant-independent tokens.
    // The default value is "common".
    provider_data.custom_parameters["tenant"] ="TENANT_ID";
    
  3. אופציונלי: מציינים היקפי הרשאות נוספים של OAuth 2.0, מעבר לפרופיל הבסיסי, שרוצים לבקש מספק האימות.

    provider_data.scopes.push_back("mail.read");
    provider_data.scopes.push_back("calendars.read");
    

    מידע נוסף זמין מסמכי בנושא הרשאות והסכמה של Microsoft.

  4. אחרי שהגדרתם את נתוני הספק, השתמשו בהם כדי ליצור FederatedOAuthProvider

    // Construct a FederatedOAuthProvider for use in Auth methods.
    firebase::auth::FederatedOAuthProvider provider(provider_data);
    
  5. מבצעים אימות עם Firebase באמצעות אובייקט של ספק האימות. חשוב לזכור שבניגוד לפעולות אחרות של FirebaseAuth, הפעולה הזו תשלוט בממשק המשתמש על ידי הצגת תצוגת אינטרנט שבה המשתמש יכול להזין את פרטי הכניסה שלו.

    כדי להתחיל את תהליך הכניסה, צריך לקרוא ל-SignInWithProvider:

    firebase::Future<firebase::auth::AuthResult> result =
      auth->SignInWithProvider(provider_data);
    

    לאחר מכן הבקשה עשויה להמתין או רישום קריאה חוזרת (callback) לגבי העתיד.

    באמצעות אסימון הגישה של OAuth, אפשר לקרוא ל- Microsoft Graph API.

    בניגוד לספקים אחרים שנתמכים על ידי Firebase Auth, Microsoft לא מספקים כתובת URL של תמונה, ובמקום זאת, הנתונים הבינאריים של תמונת פרופיל לשליחת בקשה דרך Microsoft Graph API.

  6. הדוגמאות שלמעלה מתמקדות בתהליכי כניסה, אבל אפשר גם לקשר ספק של Microsoft Azure Active Directory למשתמש קיים באמצעות LinkWithProvider. לדוגמה, אפשר לקשר כמה ספקים לאותו משתמש ולאפשר לו להיכנס באמצעות כל אחד מהם.

    firebase::Future<firebase::auth::AuthResult> result = user.LinkWithProvider(provider_data);
    
  7. אפשר להשתמש באותו קו ביטול נעילה יחד עם ReauthenticateWithProvider, שיכול להיות משמש לאחזור פרטי כניסה חדשים לפעולות רגישות שמצריכות ההתחברות האחרונה.

    firebase::Future<firebase::auth::AuthResult> result =
      user.ReauthenticateWithProvider(provider_data);
    

    לאחר מכן האפליקציה עשויה להמתין או לרשום התקשרות חזרה במכשיר העתיד.

בניגוד לספקי OAuth אחרים שנתמכים על ידי Firebase, כמו Google, Facebook, וב-Twitter, שבהם אפשר להיכנס ישירות לחשבון באמצעות אסימון גישה ל-OAuth שמבוססים על פרטי כניסה, אימות Firebase לא תומך באותה יכולת עבור כמו Microsoft בגלל חוסר היכולת של Firebase שרת לאימות לצורך אימות הקהל של אסימוני הגישה של Microsoft OAuth. זוהי דרישת אבטחה קריטית שעלולה לחשוף אפליקציות אתרים להעברה חוזרת של מתקפות שבהן התקבל אסימון גישה של Microsoft OAuth עבור אפשר להשתמש בפרויקט אחד (תוקפים) כדי להיכנס לפרויקט אחר (קורבן). במקום זאת, Firebase Auth מאפשר לטפל בכל תהליך OAuth החלפה של קוד ההרשאה באמצעות מזהה וסוד הלקוח של OAuth שהוגדר במסוף Firebase. מכיוון שאפשר להשתמש בקוד ההרשאה רק בשילוב עם מזהה לקוח או סוד לקוח ספציפיים, אי אפשר להשתמש בקוד הרשאה שהתקבל לפרויקט אחד בפרויקט אחר.

אם צריך להשתמש בספקים האלה בסביבות שלא נתמכות, צריך להשתמש בספריית OAuth של צד שלישי ובאימות מותאם אישית של Firebase. ההגדרה הראשונה נדרשת כדי לבצע אימות מול הספק וגם כדי להחליף את פרטי הכניסה של הספק באסימון מותאם אישית.

השלבים הבאים

אחרי שמשתמש נכנס לחשבון בפעם הראשונה, נוצר חשבון משתמש חדש שמקושר לפרטי הכניסה – כלומר שם המשתמש והסיסמה, מספר הטלפון או פרטי ספק האימות – שבאמצעותם המשתמש נכנס לחשבון. החשבון החדש הזה מאוחסן כחלק מפרויקט Firebase, וניתן להשתמש בו כדי לזהות משתמש בכל האפליקציות בפרויקט, ללא קשר לאופן שבו המשתמש נכנס לחשבון.

  • באפליקציות שלכם, תוכלו לקבל את פרטי הפרופיל הבסיסיים של המשתמש דרך אובייקט firebase::auth::User:

    firebase::auth::User user = auth->current_user();
    if (user.is_valid()) {
      std::string name = user.display_name();
      std::string email = user.email();
      std::string photo_url = user.photo_url();
      // The user's ID, unique to the Firebase project.
      // Do NOT use this value to authenticate with your backend server,
      // if you have one. Use firebase::auth::User::Token() instead.
      std::string uid = user.uid();
    }
  • בכללי האבטחה של Firebase Realtime Database ו-Cloud Storage, אפשר לקבל את מזהה המשתמש הייחודי של המשתמש שנכנס לחשבון מהמשתנה auth, ולהשתמש בו כדי לקבוע לאילו נתונים למשתמש תהיה גישה.

כדי לאפשר למשתמשים להיכנס לאפליקציה באמצעות כמה ספקי אימות, אפשר לקשר את פרטי הכניסה של ספק האימות לחשבון משתמש קיים.

כדי להוציא משתמש, קוראים לפונקציה SignOut():

auth->SignOut();