شما میتوانید با استفاده از Firebase SDK برای انجام جریان ورود به سیستم OAuth 2.0 به صورت سرتاسری، به کاربران خود اجازه دهید تا با استفاده از Apple ID خود در Firebase احراز هویت کنند.
قبل از اینکه شروع کنی
برای ورود کاربران با استفاده از اپل، ابتدا ورود با اپل را در سایت توسعهدهندگان اپل پیکربندی کنید، سپس اپل را به عنوان ارائهدهنده ورود به سیستم برای پروژه Firebase خود فعال کنید.
به برنامه توسعهدهندگان اپل بپیوندید
ورود به سیستم با اپل فقط توسط اعضای برنامه توسعهدهندگان اپل قابل پیکربندی است.
پیکربندی ورود به سیستم با اپل
- برای برنامه خود، ورود به سیستم با اپل را در صفحه گواهینامهها، شناسهها و پروفایلها در سایت توسعهدهندگان اپل فعال کنید.
- وبسایت خود را همانطور که در بخش اول پیکربندی ورود با اپل برای وب توضیح داده شده است، با برنامه خود مرتبط کنید. در صورت درخواست، URL زیر را به عنوان URL بازگشت ثبت کنید:
https://YOUR_FIREBASE_PROJECT_ID.firebaseapp.com/__/auth/handler
- با کلید خصوصی اپل، یک حساب کاربری ایجاد کنید . در بخش بعدی به کلید خصوصی جدید و شناسه کلید خود نیاز خواهید داشت.
- اگر از هر یک از ویژگیهای Firebase Authentication که به کاربران ایمیل ارسال میکند، از جمله ورود از طریق لینک ایمیل، تأیید آدرس ایمیل، لغو تغییر حساب و موارد دیگر استفاده میکنید، سرویس رله ایمیل خصوصی اپل را پیکربندی کنید و
noreply@ YOUR_FIREBASE_PROJECT_ID .firebaseapp.com(یا دامنه الگوی ایمیل سفارشی خود) را ثبت کنید تا اپل بتواند ایمیلهای ارسالی توسط Firebase Authentication را به آدرسهای ایمیل ناشناس اپل رله کند.
فعال کردن اپل به عنوان ارائه دهنده ورود به سیستم
- فایربیس را به پروژه اپل خود اضافه کنید . هنگام تنظیم برنامه خود در کنسول Firebase ، حتماً شناسه بسته برنامه خود را ثبت کنید.
- در کنسول Firebase ، بخش Auth را باز کنید. در تب Sign in method ، گزینه Apple provider را فعال کنید. شناسه سرویس (Service ID) که در بخش قبل ایجاد کردهاید را مشخص کنید. همچنین، در بخش OAuth code flow configuration ، شناسه تیم اپل (Apple Team ID) و کلید خصوصی و شناسه کلید (key ID) که در بخش قبل ایجاد کردهاید را مشخص کنید.
مطابق با الزامات دادههای ناشناس اپل
ورود با اپل به کاربران این امکان را میدهد که هنگام ورود به سیستم، دادههای خود، از جمله آدرس ایمیل خود را ناشناس کنند. کاربرانی که این گزینه را انتخاب میکنند، آدرسهای ایمیلی با دامنه privaterelay.appleid.com دارند. هنگامی که از ورود با اپل در برنامه خود استفاده میکنید، باید از هرگونه سیاست یا شرایط توسعهدهنده مربوطه از سوی اپل در مورد این شناسههای اپل ناشناس پیروی کنید.
این شامل دریافت هرگونه رضایت کاربر قبل از مرتبط کردن هرگونه اطلاعات شخصی که مستقیماً هویت شما را مشخص میکند با یک Apple ID ناشناس میشود. هنگام استفاده از احراز هویت Firebase، این ممکن است شامل اقدامات زیر باشد:
- یک آدرس ایمیل را به یک Apple ID ناشناس یا برعکس پیوند دهید.
- یک شماره تلفن را به یک اپل آیدی ناشناس یا برعکس پیوند دهید
- یک اعتبارنامه اجتماعی غیر ناشناس (فیسبوک، گوگل و غیره) را به یک اپل آیدی ناشناس یا برعکس پیوند دهید.
لیست بالا کامل نیست. برای اطمینان از اینکه برنامه شما الزامات اپل را برآورده میکند، به توافقنامه مجوز برنامه توسعهدهندگان اپل در بخش عضویت حساب توسعهدهندگان خود مراجعه کنید.
با اپل وارد شوید و با فایربیس احراز هویت کنید
برای احراز هویت با یک حساب کاربری اپل، ابتدا کاربر را با استفاده از چارچوب AuthenticationServices اپل وارد حساب کاربری اپل خود کنید و سپس از توکن ID از پاسخ اپل برای ایجاد یک شیء Firebase AuthCredential استفاده کنید:
برای هر درخواست ورود، یک رشته تصادفی - یک "nonce" - ایجاد کنید که از آن برای اطمینان از اینکه توکن شناسه دریافتی شما به طور خاص در پاسخ به درخواست احراز هویت برنامه شما اعطا شده است، استفاده خواهید کرد. این مرحله برای جلوگیری از حملات بازپخش مهم است.
شما میتوانید با استفاده از
SecRandomCopyBytes(_:_:_)مانند مثال زیر، یک nonce امن از نظر رمزنگاری ایجاد کنید:سویفت
private func randomNonceString(length: Int = 32) -> String { precondition(length > 0) var randomBytes = [UInt8](repeating: 0, count: length) let errorCode = SecRandomCopyBytes(kSecRandomDefault, randomBytes.count, &randomBytes) if errorCode != errSecSuccess { fatalError( "Unable to generate nonce. SecRandomCopyBytes failed with OSStatus \(errorCode)" ) } let charset: [Character] = Array("0123456789ABCDEFGHIJKLMNOPQRSTUVXYZabcdefghijklmnopqrstuvwxyz-._") let nonce = randomBytes.map { byte in // Pick a random character from the set, wrapping around if needed. charset[Int(byte) % charset.count] } return String(nonce) }
هدف-سی
// Adapted from https://auth0.com/docs/api-auth/tutorials/nonce#generate-a-cryptographically-random-nonce - (NSString *)randomNonce:(NSInteger)length { NSAssert(length > 0, @"Expected nonce to have positive length"); NSString *characterSet = @"0123456789ABCDEFGHIJKLMNOPQRSTUVXYZabcdefghijklmnopqrstuvwxyz-._"; NSMutableString *result = [NSMutableString string]; NSInteger remainingLength = length; while (remainingLength > 0) { NSMutableArray *randoms = [NSMutableArray arrayWithCapacity:16]; for (NSInteger i = 0; i < 16; i++) { uint8_t random = 0; int errorCode = SecRandomCopyBytes(kSecRandomDefault, 1, &random); NSAssert(errorCode == errSecSuccess, @"Unable to generate nonce: OSStatus %i", errorCode); [randoms addObject:@(random)]; } for (NSNumber *random in randoms) { if (remainingLength == 0) { break; } if (random.unsignedIntValue < characterSet.length) { unichar character = [characterSet characterAtIndex:random.unsignedIntValue]; [result appendFormat:@"%C", character]; remainingLength--; } } } return [result copy]; }
شما هش SHA256 مربوط به nonce را به همراه درخواست ورود خود ارسال خواهید کرد که اپل آن را بدون تغییر در پاسخ ارسال خواهد کرد. فایربیس با هش کردن nonce اصلی و مقایسه آن با مقداری که توسط اپل ارسال شده است، پاسخ را اعتبارسنجی میکند.
سویفت
@available(iOS 13, *) private func sha256(_ input: String) -> String { let inputData = Data(input.utf8) let hashedData = SHA256.hash(data: inputData) let hashString = hashedData.compactMap { String(format: "%02x", $0) }.joined() return hashString }
هدف-سی
- (NSString *)stringBySha256HashingString:(NSString *)input { const char *string = [input UTF8String]; unsigned char result[CC_SHA256_DIGEST_LENGTH]; CC_SHA256(string, (CC_LONG)strlen(string), result); NSMutableString *hashed = [NSMutableString stringWithCapacity:CC_SHA256_DIGEST_LENGTH * 2]; for (NSInteger i = 0; i < CC_SHA256_DIGEST_LENGTH; i++) { [hashed appendFormat:@"%02x", result[i]]; } return hashed; }
جریان ورود به سیستم اپل را آغاز کنید، و در درخواست خود، هش SHA256 مربوط به nonce و کلاس delegate که پاسخ اپل را مدیریت خواهد کرد، قرار دهید (به مرحله بعدی مراجعه کنید):
سویفت
import CryptoKit // Unhashed nonce. fileprivate var currentNonce: String? @available(iOS 13, *) func startSignInWithAppleFlow() { let nonce = randomNonceString() currentNonce = nonce let appleIDProvider = ASAuthorizationAppleIDProvider() let request = appleIDProvider.createRequest() request.requestedScopes = [.fullName, .email] request.nonce = sha256(nonce) let authorizationController = ASAuthorizationController(authorizationRequests: [request]) authorizationController.delegate = self authorizationController.presentationContextProvider = self authorizationController.performRequests() }هدف-سی
@import CommonCrypto; - (void)startSignInWithAppleFlow { NSString *nonce = [self randomNonce:32]; self.currentNonce = nonce; ASAuthorizationAppleIDProvider *appleIDProvider = [[ASAuthorizationAppleIDProvider alloc] init]; ASAuthorizationAppleIDRequest *request = [appleIDProvider createRequest]; request.requestedScopes = @[ASAuthorizationScopeFullName, ASAuthorizationScopeEmail]; request.nonce = [self stringBySha256HashingString:nonce]; ASAuthorizationController *authorizationController = [[ASAuthorizationController alloc] initWithAuthorizationRequests:@[request]]; authorizationController.delegate = self; authorizationController.presentationContextProvider = self; [authorizationController performRequests]; }پاسخ اپل را در پیادهسازی
ASAuthorizationControllerDelegateخود مدیریت کنید. اگر ورود به سیستم موفقیتآمیز بود، از توکن ID از پاسخ اپل به همراه nonce هش نشده برای احراز هویت با Firebase استفاده کنید:سویفت
@available(iOS 13.0, *) extension MainViewController: ASAuthorizationControllerDelegate { func authorizationController(controller: ASAuthorizationController, didCompleteWithAuthorization authorization: ASAuthorization) { if let appleIDCredential = authorization.credential as? ASAuthorizationAppleIDCredential { guard let nonce = currentNonce else { fatalError("Invalid state: A login callback was received, but no login request was sent.") } guard let appleIDToken = appleIDCredential.identityToken else { print("Unable to fetch identity token") return } guard let idTokenString = String(data: appleIDToken, encoding: .utf8) else { print("Unable to serialize token string from data: \(appleIDToken.debugDescription)") return } // Initialize a Firebase credential, including the user's full name. let credential = OAuthProvider.appleCredential(withIDToken: idTokenString, rawNonce: nonce, fullName: appleIDCredential.fullName) // Sign in with Firebase. Auth.auth().signIn(with: credential) { (authResult, error) in if error { // Error. If error.code == .MissingOrInvalidNonce, make sure // you're sending the SHA256-hashed nonce as a hex string with // your request to Apple. print(error.localizedDescription) return } // User is signed in to Firebase with Apple. // ... } } } func authorizationController(controller: ASAuthorizationController, didCompleteWithError error: Error) { // Handle error. print("Sign in with Apple errored: \(error)") } }هدف-سی
- (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithAuthorization:(ASAuthorization *)authorization API_AVAILABLE(ios(13.0)) { if ([authorization.credential isKindOfClass:[ASAuthorizationAppleIDCredential class]]) { ASAuthorizationAppleIDCredential *appleIDCredential = authorization.credential; NSString *rawNonce = self.currentNonce; NSAssert(rawNonce != nil, @"Invalid state: A login callback was received, but no login request was sent."); if (appleIDCredential.identityToken == nil) { NSLog(@"Unable to fetch identity token."); return; } NSString *idToken = [[NSString alloc] initWithData:appleIDCredential.identityToken encoding:NSUTF8StringEncoding]; if (idToken == nil) { NSLog(@"Unable to serialize id token from data: %@", appleIDCredential.identityToken); } // Initialize a Firebase credential, including the user's full name. FIROAuthCredential *credential = [FIROAuthProvider appleCredentialWithIDToken:IDToken rawNonce:self.appleRawNonce fullName:appleIDCredential.fullName]; // Sign in with Firebase. [[FIRAuth auth] signInWithCredential:credential completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) { if (error != nil) { // Error. If error.code == FIRAuthErrorCodeMissingOrInvalidNonce, // make sure you're sending the SHA256-hashed nonce as a hex string // with your request to Apple. return; } // Sign-in succeeded! }]; } } - (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithError:(NSError *)error API_AVAILABLE(ios(13.0)) { NSLog(@"Sign in with Apple errored: %@", error); }
برخلاف سایر ارائهدهندگان پشتیبانیشده توسط Firebase Auth، اپل آدرس اینترنتی عکس ارائه نمیدهد.
همچنین، وقتی کاربر تصمیم میگیرد ایمیل خود را با برنامه به اشتراک نگذارد، اپل یک آدرس ایمیل منحصر به فرد برای آن کاربر (به شکل xyz@privaterelay.appleid.com ) فراهم میکند که آن را با برنامه شما به اشتراک میگذارد. اگر سرویس رله ایمیل خصوصی را پیکربندی کرده باشید، اپل ایمیلهای ارسالی به آدرس ناشناس را به آدرس ایمیل واقعی کاربر ارسال میکند.
احراز هویت مجدد و پیوند حساب
همین الگو را میتوان با reauthenticateWithCredential() استفاده کرد، که میتوانید از آن برای بازیابی یک اعتبارنامه جدید برای عملیات حساسی که نیاز به ورود اخیر دارند، استفاده کنید:
سویفت
// Initialize a fresh Apple credential with Firebase.
let credential = OAuthProvider.credential(
withProviderID: "apple.com",
IDToken: appleIdToken,
rawNonce: rawNonce
)
// Reauthenticate current Apple user with fresh Apple credential.
Auth.auth().currentUser.reauthenticate(with: credential) { (authResult, error) in
guard error != nil else { return }
// Apple user successfully re-authenticated.
// ...
}
هدف-سی
FIRAuthCredential *credential = [FIROAuthProvider credentialWithProviderID:@"apple.com",
IDToken:appleIdToken,
rawNonce:rawNonce];
[[FIRAuth auth].currentUser
reauthenticateWithCredential:credential
completion:^(FIRAuthDataResult * _Nullable authResult,
NSError * _Nullable error) {
if (error) {
// Handle error.
}
// Apple user successfully re-authenticated.
// ...
}];
و میتوانید از linkWithCredential() برای پیوند دادن ارائهدهندگان هویت مختلف به حسابهای موجود استفاده کنید.
توجه داشته باشید که اپل از شما میخواهد قبل از پیوند دادن حسابهای اپل کاربران به سایر دادهها، رضایت صریح آنها را دریافت کنید.
ورود با اپل به شما اجازه نمیدهد که از یک اعتبارنامهی احراز هویت برای پیوند دادن به یک حساب کاربری موجود استفاده مجدد کنید. اگر میخواهید یک اعتبارنامهی ورود به سیستم با اپل را به یک حساب کاربری دیگر پیوند دهید، ابتدا باید سعی کنید حسابها را با استفاده از اعتبارنامهی ورود به سیستم قدیمی با اپل پیوند دهید و سپس خطای برگشتی را برای یافتن یک اعتبارنامهی جدید بررسی کنید. اعتبارنامهی جدید در دیکشنری userInfo مربوط به خطا قرار میگیرد و از طریق کلید AuthErrorUserInfoUpdatedCredentialKey قابل دسترسی است.
برای مثال، برای پیوند دادن یک حساب فیسبوک به حساب فعلی Firebase، از توکن دسترسی که از ورود کاربر به فیسبوک دریافت کردهاید استفاده کنید:
سویفت
// Initialize a Facebook credential with Firebase.
let credential = FacebookAuthProvider.credential(
withAccessToken: AccessToken.current!.tokenString
)
// Assuming the current user is an Apple user linking a Facebook provider.
Auth.auth().currentUser.link(with: credential) { (authResult, error) in
// Facebook credential is linked to the current Apple user.
// The user can now sign in with Facebook or Apple to the same Firebase
// account.
// ...
}
هدف-سی
// Initialize a Facebook credential with Firebase.
FacebookAuthCredential *credential = [FIRFacebookAuthProvider credentialWithAccessToken:accessToken];
// Assuming the current user is an Apple user linking a Facebook provider.
[FIRAuth.auth linkWithCredential:credential completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
// Facebook credential is linked to the current Apple user.
// The user can now sign in with Facebook or Apple to the same Firebase
// account.
// ...
}];
ابطال توکن
اپل الزام میکند که برنامههایی که از ایجاد حساب کاربری پشتیبانی میکنند، باید به کاربران اجازه دهند حذف حساب کاربری خود را در داخل برنامه آغاز کنند، همانطور که در دستورالعملهای بررسی اپ استور توضیح داده شده است.
برای برآورده کردن این نیاز، مراحل زیر را اجرا کنید:
مطمئن شوید که بخش پیکربندی جریان کد OAuth و شناسه خدمات را در پیکربندی ارائهدهنده ورود با اپل، همانطور که در بخش پیکربندی ورود با اپل توضیح داده شده است، پر کردهاید.
از آنجایی که فایربیس توکنهای کاربر را هنگام ایجاد کاربران با ورود با اپل ذخیره نمیکند، باید قبل از لغو توکن و حذف حساب کاربری، از کاربر بخواهید دوباره وارد سیستم شود.
سویفت
private var currentNonce: String? private func deleteCurrentUser() { do { let nonce = try CryptoUtils.randomNonceString() currentNonce = nonce let appleIDProvider = ASAuthorizationAppleIDProvider() let request = appleIDProvider.createRequest() request.requestedScopes = [.fullName, .email] request.nonce = CryptoUtils.sha256(nonce) let authorizationController = ASAuthorizationController(authorizationRequests: [request]) authorizationController.delegate = self authorizationController.presentationContextProvider = self authorizationController.performRequests() } catch { // In the unlikely case that nonce generation fails, show error view. displayError(error) } }
کد مجوز را از
ASAuthorizationAppleIDCredentialدریافت کنید و از آن برای فراخوانیAuth.auth().revokeToken(withAuthorizationCode:)برای لغو توکنهای کاربر استفاده کنید.سویفت
private var user: User? func authorizationController(controller: ASAuthorizationController, didCompleteWithAuthorization authorization: ASAuthorization) { guard let appleIDCredential = authorization.credential as? ASAuthorizationAppleIDCredential else { print("Unable to retrieve AppleIDCredential") return } guard let _ = currentNonce else { fatalError("Invalid state: A login callback was received, but no login request was sent.") } guard let appleAuthCode = appleIDCredential.authorizationCode else { print("Unable to fetch authorization code") return } guard let authCodeString = String(data: appleAuthCode, encoding: .utf8) else { print("Unable to serialize auth code string from data: \(appleAuthCode.debugDescription)") return } Task { do { try await Auth.auth().revokeToken(withAuthorizationCode: authCodeString) try await user?.delete() self.updateUI() } catch { self.displayError(error) } } }
در نهایت، حساب کاربری (و تمام دادههای مرتبط) را حذف کنید .
مراحل بعدی
پس از اینکه کاربر برای اولین بار وارد سیستم میشود، یک حساب کاربری جدید ایجاد میشود و به اطلاعات احراز هویت - یعنی نام کاربری و رمز عبور، شماره تلفن یا اطلاعات ارائه دهنده مجوز - که کاربر با آن وارد سیستم شده است، پیوند داده میشود. این حساب جدید به عنوان بخشی از پروژه Firebase شما ذخیره میشود و میتواند برای شناسایی کاربر در هر برنامه در پروژه شما، صرف نظر از نحوه ورود کاربر، مورد استفاده قرار گیرد.
در برنامههای خود، میتوانید اطلاعات اولیه پروفایل کاربر را از شیء
Userدریافت کنید. به بخش مدیریت کاربران مراجعه کنید.در قوانین امنیتی پایگاه داده و Cloud Storage Firebase Realtime Database ، میتوانید شناسه کاربری منحصر به فرد کاربر وارد شده را از متغیر
authدریافت کنید و از آن برای کنترل دادههایی که کاربر میتواند به آنها دسترسی داشته باشد، استفاده کنید.
برای خروج از سیستم کاربر، تابع signOut: را فراخوانی کنید.
سویفت
let firebaseAuth = Auth.auth() do { try firebaseAuth.signOut() } catch let signOutError as NSError { print("Error signing out: %@", signOutError) }
هدف-سی
NSError *signOutError; BOOL status = [[FIRAuth auth] signOut:&signOutError]; if (!status) { NSLog(@"Error signing out: %@", signOutError); return; }
همچنین میتوانید کد مدیریت خطا را برای طیف کامل خطاهای احراز هویت اضافه کنید. به بخش مدیریت خطاها مراجعه کنید.