S'authentifier avec Firebase à l'aide de liens d'e-mail

Vous pouvez utiliser Firebase Authentication pour connecter un utilisateur en lui envoyant un e-mail contenant un lien sur lequel il peut cliquer pour se connecter. L'adresse e-mail de l'utilisateur est également validée au cours du processus.

La connexion par e-mail présente de nombreux avantages :

• Inscription et connexion faciles.
• Réduction du risque de réutilisation de mots de passe dans les applications, ce qui peut compromettre la sécurité même des mots de passe bien choisis.
• Possibilité d'authentifier un utilisateur tout en vérifiant qu'il est le propriétaire légitime d'une adresse e-mail.
• Pour se connecter, un utilisateur a uniquement besoin d'un compte de messagerie accessible. Il n'est pas nécessaire d'être propriétaire d'un numéro de téléphone ou d'un compte de réseau social.
• Un utilisateur peut se connecter de manière sécurisée sans avoir à fournir (ni à mémoriser) un mot de passe, ce qui peut être fastidieux sur un appareil mobile.
• Un utilisateur existant qui s'est déjà connecté avec un identifiant d'adresse e-mail (mot de passe ou fédéré) peut être mis à niveau pour se connecter uniquement avec l'adresse e-mail. Par exemple, un utilisateur qui a oublié son mot de passe peut toujours se connecter sans avoir à le réinitialiser.

Avant de commencer

1. Si ce n'est pas déjà fait, suivez les étapes du guide Premiers pas.

2. Activez la connexion par lien e-mail pour votre projet Firebase.

   Pour connecter les utilisateurs par lien e-mail, vous devez d'abord activer le fournisseur d'adresse e-mail et la méthode de connexion par lien e-mail pour votre projet Firebase :

   1. Dans la console Firebase, ouvrez la section Authentification.
   2. Dans l'onglet Mode de connexion, activez le fournisseur Adresse e-mail/Mot de passe. Notez que la connexion par e-mail/mot de passe doit être activée pour utiliser la connexion par lien d'e-mail.
   3. Dans la même section, activez la méthode de connexion Lien envoyé par e-mail (connexion sans mot de passe).
   4. Cliquez sur Enregistrer.

Envoyer un lien d'authentification à l'adresse e-mail de l'utilisateur

Pour lancer le flux d'authentification, présentez une interface qui invite l'utilisateur à fournir son adresse e-mail, puis appelez sendSignInLinkToEmail() pour demander à Firebase d'envoyer le lien d'authentification à l'adresse e-mail de l'utilisateur.

1. Construisez l'objet ActionCodeSettings, qui fournit à Firebase des instructions sur la façon de créer le lien envoyé par e-mail. Attribuez aux champs suivants les valeurs correspondantes :

   • url : lien profond à intégrer et tout état supplémentaire à transmettre. Le domaine du lien doit figurer dans la liste des domaines autorisés de la console Firebase. Pour y accéder, accédez à l'onglet "Paramètres" (Authentification > Paramètres > Domaines autorisés). Le lien redirige l'utilisateur vers cette URL si l'application n'est pas installée sur son appareil et n'a pas pu l'être.

   • androidPackageName et IOSBundleId : applications à utiliser lorsque le lien de connexion est ouvert sur un appareil Android ou iOS. Découvrez comment configurer Firebase Dynamic Links pour ouvrir les liens d'actions par e-mail via des applications mobiles.

   • Définissez handleCodeInApp sur true. L'opération de connexion doit toujours être effectuée dans l'application, contrairement aux autres actions par e-mail hors bande (réinitialisation du mot de passe et validation de l'adresse e-mail). En effet, à la fin du flux, l'utilisateur doit être connecté et son état d'authentification doit être conservé dans l'application.

   • dynamicLinkDomain : (Obsolète, utilisez linkDomain) Lorsque plusieurs domaines de liens dynamiques personnalisés sont définis pour un projet, spécifiez celui à utiliser lorsque le lien doit être ouvert à l'aide d'une application mobile spécifique (par exemple, example.page.link). Sinon, le premier domaine est automatiquement sélectionné.

   • linkDomain : domaine Firebase Hosting personnalisé facultatif à utiliser lorsque le lien doit être ouvert à l'aide d'une application mobile spécifiée. Le domaine doit être configuré dans Firebase Hosting et appartenir au projet. Il ne peut pas s'agir d'un domaine d'hébergement par défaut (web.app ou firebaseapp.com). Ce paramètre remplace le paramètre dynamicLinkDomain obsolète.

   var acs = ActionCodeSettings(
       // URL you want to redirect back to. The domain (www.example.com) for this
       // URL must be whitelisted in the Firebase Console.
       url: 'https://www.example.com/finishSignUp?cartId=1234',
       // This must be true
       handleCodeInApp: true,
       iOSBundleId: 'com.example.ios',
       androidPackageName: 'com.example.android',
       // installIfNotAvailable
       androidInstallApp: true,
       // minimumVersion
       androidMinimumVersion: '12');
   

2. Demandez à l'utilisateur de vous fournir son adresse e-mail.

3. Envoyez le lien d'authentification à l'adresse e-mail de l'utilisateur et enregistrez-la au cas où l'utilisateur se connecte avec son adresse e-mail sur le même appareil.

   var emailAuth = 'someemail@domain.com';
   FirebaseAuth.instance.sendSignInLinkToEmail(
           email: emailAuth, actionCodeSettings: acs)
       .catchError((onError) => print('Error sending email verification $onError'))
       .then((value) => print('Successfully sent email verification'));
   });
   

Finaliser la connexion avec le lien envoyé par e-mail

Problèmes de sécurité

Pour éviter qu'un lien de connexion ne soit utilisé pour se connecter en tant qu'utilisateur non prévu ou sur un appareil non prévu, Firebase Auth exige que l'adresse e-mail de l'utilisateur soit fournie lors de la procédure de connexion. Pour que la connexion réussisse, cette adresse e-mail doit correspondre à celle à laquelle le lien de connexion a été envoyé à l'origine.

Vous pouvez simplifier ce flux pour les utilisateurs qui ouvrent le lien de connexion sur le même appareil que celui sur lequel ils l'ont demandé, en stockant leur adresse e-mail localement (par exemple, à l'aide de SharedPreferences) lorsque vous envoyez l'e-mail de connexion. Utilisez ensuite cette adresse pour finaliser le processus. Ne transmettez pas l'adresse e-mail de l'utilisateur dans les paramètres de l'URL de redirection et ne la réutilisez pas, car cela peut permettre des injections de session.

Une fois la connexion terminée, tout mécanisme de connexion non validé précédemment sera supprimé pour l'utilisateur, et toutes les sessions existantes seront invalidées. Par exemple, si une personne a déjà créé un compte non validé avec la même adresse e-mail et le même mot de passe, le mot de passe de l'utilisateur sera supprimé pour empêcher l'usurpateur qui a revendiqué la propriété et créé ce compte non validé de se reconnecter avec l'adresse e-mail et le mot de passe non validés.

Assurez-vous également d'utiliser une URL HTTPS en production pour éviter que votre lien ne soit potentiellement intercepté par des serveurs intermédiaires.

Finaliser la connexion

Firebase Dynamic Links est obsolète. Firebase Hosting est désormais utilisé pour envoyer un lien de connexion. Suivez les guides de configuration spécifiques à la plate-forme :

• Android
• iOS
• Web

Valider le lien de l'adresse e-mail et se connecter

Pour que la connexion soit finalisée via une application mobile, celle-ci doit être configurée pour détecter le lien de l'application entrante, analyser le lien profond sous-jacent, puis finaliser la connexion.

1. Dans votre gestionnaire de liens, vérifiez si le lien est destiné à l'authentification par lien envoyé par e-mail et, le cas échéant, finalisez le processus de connexion.

   // Confirm the link is a sign-in with email link.
   if (FirebaseAuth.instance.isSignInWithEmailLink(emailLink)) {
     try {
       // The client SDK will parse the code from the link for you.
       final userCredential = await FirebaseAuth.instance
           .signInWithEmailLink(email: emailAuth, emailLink: emailLink);
   
       // You can access the new user via userCredential.user.
       final emailAddress = userCredential.user?.email;
   
       print('Successfully signed in with email link!');
     } catch (error) {
       print('Error signing in with email link.');
     }
   }
   

Associer/réauthentifier avec un lien envoyé par e-mail

Vous pouvez également associer cette méthode d'authentification à un utilisateur existant. Par exemple, un utilisateur qui s'est précédemment authentifié auprès d'un autre fournisseur, comme un numéro de téléphone, peut ajouter cette méthode de connexion à son compte existant.

La différence se situe dans la seconde moitié de l'opération :

final authCredential = EmailAuthProvider
    .credentialWithLink(email: emailAuth, emailLink: emailLink.toString());
try {
    await FirebaseAuth.instance.currentUser
        ?.linkWithCredential(authCredential);
} catch (error) {
    print("Error linking emailLink credential.");
}

Cette méthode peut également être utilisée pour réauthentifier un utilisateur de lien e-mail avant d'exécuter une opération sensible.

final authCredential = EmailAuthProvider
    .credentialWithLink(email: emailAuth, emailLink: emailLink.toString());
try {
    await FirebaseAuth.instance.currentUser
        ?.reauthenticateWithCredential(authCredential);
} catch (error) {
    print("Error reauthenticating credential.");
}

Toutefois, comme le flux peut se terminer sur un autre appareil sur lequel l'utilisateur d'origine n'était pas connecté, il est possible que ce flux ne soit pas terminé. Dans ce cas, une erreur peut être affichée à l'utilisateur pour l'obliger à ouvrir le lien sur le même appareil. Certains états peuvent être transmis dans le lien pour fournir des informations sur le type d'opération et l'UID de l'utilisateur.

Obsolète : différencier l'authentification par adresse e-mail/mot de passe de l'authentification par lien de messagerie

Si vous avez créé votre projet le 15 septembre 2023 ou après, la protection contre l'énumération d'adresses e-mail est activée par défaut. Cette fonctionnalité améliore la sécurité des comptes utilisateur de votre projet, mais elle désactive la méthode fetchSignInMethodsForEmail(), que nous recommandions auparavant pour implémenter des flux axés sur l'identifiant.

Bien que vous puissiez désactiver la protection contre l'énumération d'adresses e-mail pour votre projet, nous vous le déconseillons.

Pour en savoir plus, consultez la documentation sur la protection contre l'énumération d'adresses e-mail.

Étapes suivantes

Lorsqu'un utilisateur crée un compte, celui-ci est stocké dans votre projet Firebase et peut être utilisé pour l'identifier dans toutes les applications de votre projet, quelle que soit la méthode de connexion utilisée.

Dans vos applications, vous pouvez obtenir les informations de profil de base de l'utilisateur à partir de l'objet User. Consultez Gérer les utilisateurs.

Dans vos règles de sécurité Firebase Realtime Database et Cloud Storage, vous pouvez obtenir l'ID utilisateur unique de l'utilisateur connecté à partir de la variable auth et l'utiliser pour contrôler les données auxquelles un utilisateur peut accéder.

Vous pouvez autoriser les utilisateurs à se connecter à votre application à l'aide de plusieurs fournisseurs d'authentification en associant les identifiants du fournisseur d'authentification à un compte utilisateur existant.

Pour déconnecter un utilisateur, appelez signOut() :

await FirebaseAuth.instance.signOut();