Yahoo と C ++ を使用して認証する

Firebase SDK を使用してウェブベースの汎用 OAuth ログインをアプリに統合し、エンドツーエンドのログインフローを実行することで、ユーザーが Firebase での認証に Yahoo などの OAuth プロバイダを使用できるようになります。このフローでは、スマートフォン ベースの Firebase SDK を使用する必要があるため、Android プラットフォームと Apple プラットフォームでのみサポートされます。

始める前に

1. Firebase を C++ プロジェクトに追加します。
2. Firebase コンソールで [Authentication] セクションを開きます。
3. [Sign-in method] タブで、[Yahoo!] プロバイダを有効にします。
4. そのプロバイダのデベロッパー コンソールで取得したクライアント ID とクライアント シークレットをプロバイダ構成に追加します。

   1. Yahoo OAuth クライアントを登録するには、Yahoo でのウェブ アプリケーションの登録に関する Yahoo のデベロッパー向けドキュメントの手順を実施してください。

      必ず、OpenID Connect API の 2 つの権限（profile と email）を選択します。

   2. こうしたプロバイダにアプリを登録するときは、必ずプロジェクトの *.firebaseapp.com ドメインをアプリのリダイレクト ドメインとして登録してください。
5. [保存] をクリックします。

firebase::auth::Auth クラスへのアクセス

すべての API 呼び出しは Auth クラスを使用して行われます。

1. Auth ヘッダー ファイルと App ヘッダー ファイルを追加します。

   #include "firebase/app.h"
   #include "firebase/auth.h"
   

2. 初期化コードで firebase::App クラスを作成します。

   #if defined(__ANDROID__)
     firebase::App* app =
         firebase::App::Create(firebase::AppOptions(), my_jni_env, my_activity);
   #else
     firebase::App* app = firebase::App::Create(firebase::AppOptions());
   #endif  // defined(__ANDROID__)
   

3. firebase::App の firebase::auth::Auth クラスを取得します。App と Auth は、1 対 1 で対応しています。

   firebase::auth::Auth* auth = firebase::auth::Auth::GetAuth(app);
   

Firebase SDK を使用したログインフローの処理

Firebase SDK でログインフローを処理する手順は次のとおりです。

1. Yahoo に適したプロバイダ ID で構成された FederatedOAuthProviderData のインスタンスを作成します。

   firebase::auth::FederatedOAuthProviderData
       provider_data(firebase::auth::YahooAuthProvider::kProviderId);
   

2. 省略可: OAuth リクエストと一緒に送信したい追加のカスタム OAuth パラメータを指定します。

   // Prompt user to re-authenticate to Yahoo.
   provider_data.custom_parameters["prompt"] = "login";
   
   // Localize to French.
   provider_data.custom_parameters["language"] = "fr";
   

   Yahoo がサポートするパラメータについては、Yahoo の OAuth に関するドキュメントをご覧ください。custom_parameters() で Firebase の必須パラメータを渡すことはできません。該当するパラメータは、client_id、redirect_uri、response_type、scope、state です。

3. 省略可: 認証プロバイダにリクエストする、profile と email を超える追加の OAuth 2.0 スコープを指定します。アプリケーションで Yahoo API から限定公開のユーザーデータへのアクセスが必要な場合は、Yahoo のデベロッパー コンソールの [API Permissions] で、Yahoo API に権限をリクエストする必要があります。リクエストされた OAuth スコープは、アプリの API 権限で事前構成されたものと完全一致する必要があります。たとえば、読み取り / 書き込みアクセスがユーザーの連絡先にリクエストされ、それがアプリの API 権限で事前構成されている場合は、読み取り専用の OAuth スコープ sdct-r の代わりに sdct-w を渡す必要があります。渡さないと、フローは失敗し、エンドユーザーにエラーが表示されます。

   // Request access to Yahoo Mail API.
   provider_data.scopes.push_back("mail-r");
   // This must be preconfigured in the app's API permissions.
   provider_data.scopes.push_back("sdct-w");
   

   詳しくは、Yahoo のスコープに関するドキュメントをご覧ください。

4. プロバイダのデータを設定したら、それを使用して FederatedOAuthProvider を作成します。

   // Construct a FederatedOAuthProvider for use in Auth methods.
   firebase::auth::FederatedOAuthProvider provider(provider_data);
   

5. Auth プロバイダ オブジェクトを使用して Firebase での認証を行います。こうすると、他の FirebaseAuth オペレーションとは異なり、ユーザーが認証情報を入力できるウェブビューをポップアップ表示して UI を制御することになります。

   ログインフローを開始するには、SignInWithProvider を呼び出します。

   firebase::Future<firebase::auth::AuthResult> result =
     auth->SignInWithProvider(provider_data);
   

   その後、プログラムは待機するか、Future にコールバックを登録します。

6. 上記の例ではログインフローを中心に説明していますが、LinkWithProvider を使用して Yahoo プロバイダを既存のユーザーにリンクすることもできます。たとえば、複数のプロバイダを同じユーザーにリンクして、どれでもログインを可能にできます。

   firebase::Future<firebase::auth::AuthResult> result = user.LinkWithProvider(provider_data);
   

7. 同じパターンを ReauthenticateWithProvider でも使用できます。これは、ログインしてから短時間のうちに行うことが求められる機密性の高いオペレーションのための、最新の認証情報の取得に使用できます。

   firebase::Future<firebase::auth::AuthResult> result =
     user.ReauthenticateWithProvider(provider_data);
   

   その後、アプリケーションは待機するか、Future にコールバックを登録します。

高度: 手動によるログインフローの処理

Firebase でサポートされている他の OAuth プロバイダ（Google、Facebook、Twitter など）では OAuth アクセス トークンに基づいた認証情報を使用して直接ログインできますが、Yahoo などのプロバイダでは Firebase Auth が同様の機能をサポートしていません。これは Yahoo OAuth アクセス トークンの対象デバイスを検証するのに Firebase Auth サーバーを使用できないためです。これは重要なセキュリティ要件です。こうしなければ、アプリケーションやウェブサイトをリプレイ攻撃にさらすことになり、攻撃者があるプロジェクト用に取得した Yahoo OAuth アクセス トークンを使用して別のプロジェクト（被害者）にログインする恐れがあります。代わりに Firebase Auth では、Firebase コンソールで構成した OAuth のクライアント ID とクライアント シークレットを使用して、OAuth フロー全体と認証コード交換を処理する機能を提供しています。認証コードは特定のクライアント ID / シークレットの組み合わせでのみ使用できるため、あるプロジェクトで取得した認証コードを別のプロジェクトで使用することはできません。

このようなプロバイダを、サポートされていない環境で使用する必要がある場合は、サードパーティの OAuth ライブラリと Firebase カスタム認証を使用する必要があります。前者はプロバイダとの認証に、後者はプロバイダの認証情報をカスタム トークンと交換するために必要です。

次のステップ

ユーザーが初めてログインすると、新しいユーザー アカウントが作成され、ユーザーがログイン時に使用した認証情報（ユーザー名とパスワード、電話番号、または認証プロバイダ情報）にアカウントがリンクされます。この新しいアカウントは Firebase プロジェクトの一部として保存され、ユーザーのログイン方法にかかわらず、プロジェクトのすべてのアプリでユーザーを識別するために使用できます。

• アプリでは、firebase::auth::User オブジェクトからユーザーの基本的なプロフィール情報を取得できます。

  firebase::auth::User user = auth->current_user();
  if (user.is_valid()) {
    std::string name = user.display_name();
    std::string email = user.email();
    std::string photo_url = user.photo_url();
    // The user's ID, unique to the Firebase project.
    // Do NOT use this value to authenticate with your backend server,
    // if you have one. Use firebase::auth::User::Token() instead.
    std::string uid = user.uid();
  }
  

• Firebase Realtime Database と Cloud Storage のセキュリティ ルールでは、ログイン済みユーザーの一意のユーザー ID を auth 変数から取得し、それを使用して、ユーザーがアクセスできるデータを管理できます。

既存のユーザー アカウントに認証プロバイダの認証情報をリンクすることで、ユーザーは複数の認証プロバイダを使用してアプリにログインできるようになります。

ユーザーのログアウトを行うには、SignOut() を呼び出します。

auth->SignOut();