Authentifiez-vous avec Firebase à l'aide de liens de messagerie

Vous pouvez utiliser l'authentification Firebase pour connecter un utilisateur en lui envoyant un e-mail contenant un lien sur lequel il peut cliquer pour se connecter. Au cours du processus, l'adresse e-mail de l'utilisateur est également vérifiée.

Il y a de nombreux avantages à se connecter par e-mail :

• Inscription et connexion à faible friction.
• Risque réduit de réutilisation des mots de passe dans les applications, ce qui peut compromettre la sécurité des mots de passe, même bien sélectionnés.
• La possibilité d'authentifier un utilisateur tout en vérifiant que l'utilisateur est le propriétaire légitime d'une adresse e-mail.
• Un utilisateur n'a besoin que d'un compte de messagerie accessible pour se connecter. Aucune possession d'un numéro de téléphone ou d'un compte de réseau social n'est requise.
• Un utilisateur peut se connecter en toute sécurité sans avoir besoin de fournir (ou de mémoriser) un mot de passe, ce qui peut s'avérer fastidieux sur un appareil mobile.
• Un utilisateur existant qui s'est précédemment connecté avec un identifiant d'e-mail (mot de passe ou fédéré) peut être mis à niveau pour se connecter avec uniquement l'e-mail. Par exemple, un utilisateur qui a oublié son mot de passe peut toujours se connecter sans avoir besoin de réinitialiser son mot de passe.

Avant que tu commences

1. Si ce n'est pas déjà fait, suivez les étapes décrites dans le guide de démarrage .

2. Activez la connexion par e-mail par lien pour votre projet Firebase.

   Pour connecter des utilisateurs par lien e-mail, vous devez d'abord activer le fournisseur de messagerie et la méthode de connexion par lien e-mail pour votre projet Firebase :

   1. Dans la console Firebase , ouvrez la section Auth .
   2. Dans l'onglet Méthode de connexion , activez le fournisseur E-mail/Mot de passe . Notez que la connexion par e-mail/mot de passe doit être activée pour utiliser la connexion par lien e-mail.
   3. Dans la même section, activez la méthode de connexion par lien e-mail (connexion sans mot de passe) .
   4. Cliquez sur Enregistrer .

Envoyer un lien d'authentification à l'adresse email de l'utilisateur

Pour lancer le flux d'authentification, présentez une interface qui invite l'utilisateur à fournir son adresse e-mail, puis appelez sendSignInLinkToEmail() pour demander à Firebase d'envoyer le lien d'authentification vers l'adresse e-mail de l'utilisateur.

1. Construisez l'objet ActionCodeSettings, qui fournit à Firebase des instructions sur la façon de créer le lien de courrier électronique. Définissez les champs suivants :

   • url : Le lien profond à intégrer et tout état supplémentaire à transmettre. Le domaine du lien doit être ajouté à la liste blanche dans la liste des domaines autorisés de la console Firebase, qui peut être trouvée en accédant à l'onglet Méthode de connexion (Authentification -> Méthode de connexion). Le lien redirigera l'utilisateur vers cette URL si l'application n'est pas installée sur son appareil et que l'application n'a pas pu être installée.

   • androidPackageName et IOSBundleId : applications à utiliser lorsque le lien de connexion est ouvert sur un appareil Android ou iOS. Découvrez comment configurer Firebase Dynamic Links pour ouvrir des liens d'action par e-mail via des applications mobiles.

   • handleCodeInApp : défini sur true . L'opération de connexion doit toujours être effectuée dans l'application, contrairement aux autres actions par courrier électronique hors bande (réinitialisation du mot de passe et vérification des courriers électroniques). En effet, à la fin du flux, l'utilisateur est censé être connecté et son état d'authentification est conservé dans l'application.

   • dynamicLinkDomain : lorsque plusieurs domaines de liens dynamiques personnalisés sont définis pour un projet, spécifiez celui à utiliser lorsque le lien doit être ouvert via une application mobile spécifiée (par exemple, example.page.link ). Sinon, le premier domaine est automatiquement sélectionné.

   var acs = ActionCodeSettings(
       // URL you want to redirect back to. The domain (www.example.com) for this
       // URL must be whitelisted in the Firebase Console.
       url: 'https://www.example.com/finishSignUp?cartId=1234',
       // This must be true
       handleCodeInApp: true,
       iOSBundleId: 'com.example.ios',
       androidPackageName: 'com.example.android',
       // installIfNotAvailable
       androidInstallApp: true,
       // minimumVersion
       androidMinimumVersion: '12');
   

2. Demandez à l'utilisateur son e-mail.

3. Envoyez le lien d'authentification à l'adresse e-mail de l'utilisateur et enregistrez l'e-mail de l'utilisateur au cas où l'utilisateur terminerait la connexion par e-mail sur le même appareil.

   var emailAuth = 'someemail@domain.com';
   FirebaseAuth.instance.sendSignInLinkToEmail(
           email: emailAuth, actionCodeSettings: acs)
       .catchError((onError) => print('Error sending email verification $onError'))
       .then((value) => print('Successfully sent email verification'));
   });
   

Connectez-vous complètement avec le lien e-mail

Problèmes de sécurité

Pour éviter qu'un lien de connexion soit utilisé pour se connecter en tant qu'utilisateur involontaire ou sur un appareil involontaire, Firebase Auth exige que l'adresse e-mail de l'utilisateur soit fournie lors de la finalisation du processus de connexion. Pour que la connexion réussisse, cette adresse e-mail doit correspondre à l'adresse à laquelle le lien de connexion a été initialement envoyé.

Vous pouvez rationaliser ce flux pour les utilisateurs qui ouvrent le lien de connexion sur le même appareil sur lequel ils demandent le lien, en stockant leur adresse e-mail localement - par exemple à l'aide de SharedPreferences - lorsque vous envoyez l'e-mail de connexion. Ensuite, utilisez cette adresse pour terminer le flux. Ne transmettez pas l'e-mail de l'utilisateur dans les paramètres de l'URL de redirection et réutilisez-le car cela pourrait permettre des injections de session.

Une fois la connexion terminée, tout mécanisme de connexion antérieur non vérifié sera supprimé de l'utilisateur et toutes les sessions existantes seront invalidées. Par exemple, si quelqu'un a déjà créé un compte non vérifié avec le même e-mail et le même mot de passe, le mot de passe de l'utilisateur sera supprimé pour empêcher l'usurpateur qui a revendiqué la propriété et créé ce compte non vérifié de se reconnecter avec l'e-mail et le mot de passe non vérifiés.

Assurez-vous également d'utiliser une URL HTTPS en production pour éviter que votre lien ne soit potentiellement intercepté par des serveurs intermédiaires.

Vérifiez le lien de courrier électronique et connectez-vous

L'authentification Firebase utilise Firebase Dynamic Links pour envoyer le lien de courrier électronique à un appareil mobile. Pour terminer la connexion via une application mobile, l'application doit être configurée pour détecter le lien d'application entrant, analyser le lien profond sous-jacent, puis terminer la connexion.

1. Configurez votre application pour recevoir des liens dynamiques sur Flutter dans le guide .

2. Dans votre gestionnaire de liens, vérifiez si le lien est destiné à l'authentification du lien de courrier électronique et, si tel est le cas, terminez le processus de connexion.

   // Confirm the link is a sign-in with email link.
   if (FirebaseAuth.instance.isSignInWithEmailLink(emailLink)) {
     try {
       // The client SDK will parse the code from the link for you.
       final userCredential = await FirebaseAuth.instance
           .signInWithEmailLink(email: emailAuth, emailLink: emailLink);
   
       // You can access the new user via userCredential.user.
       final emailAddress = userCredential.user?.email;
   
       print('Successfully signed in with email link!');
     } catch (error) {
       print('Error signing in with email link.');
     }
   }
   

Liaison/réauthentification avec lien e-mail

Vous pouvez également lier cette méthode d'authentification à un utilisateur existant. Par exemple, un utilisateur préalablement authentifié auprès d'un autre fournisseur, tel qu'un numéro de téléphone, peut ajouter cette méthode de connexion à son compte existant.

La différence se situerait dans la seconde moitié de l’opération :

final authCredential = EmailAuthProvider
    .credentialWithLink(email: emailAuth, emailLink: emailLink.toString());
try {
    await FirebaseAuth.instance.currentUser
        ?.linkWithCredential(authCredential);
} catch (error) {
    print("Error linking emailLink credential.");
}

Cela peut également être utilisé pour réauthentifier un utilisateur de lien de messagerie avant d'exécuter une opération sensible.

final authCredential = EmailAuthProvider
    .credentialWithLink(email: emailAuth, emailLink: emailLink.toString());
try {
    await FirebaseAuth.instance.currentUser
        ?.reauthenticateWithCredential(authCredential);
} catch (error) {
    print("Error reauthenticating credential.");
}

Cependant, comme le flux peut aboutir sur un autre appareil sur lequel l'utilisateur d'origine n'était pas connecté, ce flux risque de ne pas aboutir. Dans ce cas, une erreur peut être affichée à l'utilisateur pour le forcer à ouvrir le lien sur le même appareil. Certains états peuvent être transmis dans le lien pour fournir des informations sur le type d'opération et l'UID de l'utilisateur.

Obsolète : différencier le mot de passe de courrier électronique du lien de courrier électronique

Si vous avez créé votre projet le 15 septembre 2023 ou après, la protection par énumération d'e-mails est activée par défaut. Cette fonctionnalité améliore la sécurité des comptes utilisateurs de votre projet, mais elle désactive la méthode fetchSignInMethodsForEmail() , que nous recommandions auparavant pour implémenter les flux identifiant d'abord.

Bien que vous puissiez désactiver la protection de l’énumération des e-mails pour votre projet, nous vous déconseillons de le faire.

Consultez la documentation sur la protection de l'énumération des e-mails pour plus de détails.

Prochaines étapes

Une fois qu'un utilisateur crée un nouveau compte, ce compte est stocké dans le cadre de votre projet Firebase et peut être utilisé pour identifier un utilisateur dans chaque application de votre projet, quelle que soit la méthode de connexion utilisée par l'utilisateur.

Dans vos applications, vous pouvez obtenir les informations de base du profil de l'utilisateur à partir de l'objet User . Voir Gérer les utilisateurs .

Dans vos règles de sécurité de base de données en temps réel Firebase et de stockage cloud, vous pouvez obtenir l'ID utilisateur unique de l'utilisateur connecté à partir de la variable auth et l'utiliser pour contrôler les données auxquelles un utilisateur peut accéder.

Vous pouvez autoriser les utilisateurs à se connecter à votre application à l'aide de plusieurs fournisseurs d'authentification en associant les informations d'identification du fournisseur d'authentification à un compte utilisateur existant.

Pour déconnecter un utilisateur, appelez signOut() :

await FirebaseAuth.instance.signOut();