Uwierzytelniaj za pomocą OpenID Connect na platformach Apple

Jeśli masz już usługę Firebase Authentication with Identity Platform, możesz uwierzytelniać użytkowników w Firebase za pomocą wybranego dostawcy zgodnego ze standardem OpenID Connect (OIDC). Umożliwia to korzystanie z dostawców tożsamości, którzy nie są natywnie obsługiwani przez Firebase.

Zanim zaczniesz

Aby logować użytkowników za pomocą dostawcy OIDC, musisz najpierw zebrać od niego te informacje:

  • Identyfikator klienta: ciąg znaków unikalny dla dostawcy, który identyfikuje Twoją aplikację. Twój dostawca może przypisać Ci inny identyfikator klienta dla każdej obsługiwanej platformy. Jest to jedna z wartości deklaracji aud w tokenach identyfikatora wydawanych przez dostawcę.

  • Tajny klucz klienta: tajny ciąg znaków, którego dostawca używa do potwierdzenia własności identyfikatora klienta. Do każdego identyfikatora klienta potrzebujesz pasującego tajnego klucza klienta. (Ta wartość jest wymagana tylko wtedy, gdy używasz procesu kodu autoryzacji, co jest zdecydowanie zalecane).

  • Wystawca: ciąg znaków, który identyfikuje Twojego dostawcę. Ta wartość musi być adresem URL, który po dodaniu do niego ciągu /.well-known/openid-configuration będzie wskazywać lokalizację dokumentu opisującego OIDC aprowizatora. Jeśli na przykład wystawca to https://auth.example.com, dokument opisujący musi być dostępny pod adresem https://auth.example.com/.well-known/openid-configuration.

Gdy uzyskasz powyższe informacje, włącz OpenID Connect jako dostawcę logowania w projekcie w Firebase:

  1. Dodaj Firebase do projektu na iOS.

  2. Jeśli nie masz jeszcze usługi Firebase Authentication with Identity Platform, zrób to teraz. Uwierzytelnianie przy użyciu OpenID Connect jest dostępne tylko w uaktualnionych projektach.

  3. W konsoli Firebase kliknij Zabezpieczenia > Uwierzytelnianie.

  4. Na karcie Metoda logowania kliknij Dodaj nowego dostawcę, a potem kliknij OpenID Connect.

  5. Wybierz, czy będziesz używać przepływu kodu autoryzacji czy procesu przyznawania pośredniego.

    Jeśli Twój dostawca obsługuje proces kodu, zawsze używaj tego procesu. Przepływ niejawny jest mniej bezpieczny i zdecydowanie odradzamy jego używanie.

  6. Nadaj nazwę temu dostawcy. Zapisz wygenerowany identyfikator dostawcy, np. oidc.example-provider. Będzie on potrzebny, gdy dodasz do aplikacji kod logowania.

  7. Określ identyfikator klienta, tajny klucz klienta i ciąg znaków wystawcy dostawcy. Te wartości muszą dokładnie odpowiadać wartościom przypisanym Ci przez dostawcę.

  8. Zapisz zmiany.

Obsługa procesu logowania za pomocą pakietu SDK Firebase

Najłatwiejszym sposobem uwierzytelniania użytkowników w Firebase za pomocą dostawcy OIDC jest obsługa całego procesu logowania za pomocą pakietu SDK Firebase.

Aby obsługiwać proces logowania za pomocą pakietu SDK Firebase na platformach Apple, wykonaj te czynności:

  1. Dodaj niestandardowe schematy adresów URL do projektu Xcode:

    1. Otwórz konfigurację projektu: kliknij dwukrotnie nazwę projektu w widoku drzewa po lewej stronie. W sekcji TARGETS (Cele) wybierz swoją aplikację, a następnie kliknij kartę Info (Informacje) i rozwiń sekcję URL Types (Typy adresów URL).
    2. Kliknij przycisk + i dodaj zakodowany identyfikator aplikacji jako schemat URI adresu URL. Pozostałe pola pozostaw puste.

      Zakodowany identyfikator aplikacji znajdziesz w konsoli Firebase: otwórz ustawienia Settings > kartę General, a następnie przewiń w dół do sekcji Your apps, aby wyświetlić szczegóły aplikacji na iOS.

      Po zakończeniu konfiguracja powinna wyglądać podobnie do tej (ale z wartościami specyficznymi dla Twojej aplikacji):

      Zrzut ekranu interfejsu konfiguracji niestandardowego schematu URI adresu URL w Xcode

  2. Utwórz instancję OAuthProvider za pomocą identyfikatora dostawcy uzyskanego w konsoli Firebase.

    Swift

    var provider = OAuthProvider(providerID: "oidc.example-provider")

    Objective-C

    FIROAuthProvider *provider = [FIROAuthProvider providerWithProviderID:@"oidc.example-provider"];

  3. Opcjonalnie: określ dodatkowe niestandardowe parametry OAuth, które chcesz wysłać z żądaniem OAuth.

    Swift

    provider.customParameters = [
  "login_hint": "user@example.com"
]

    Objective-C

    [provider setCustomParameters:@{@"login_hint": @"user@example.com"}];

    Sprawdź u dostawcy, jakie parametry obsługuje. Pamiętaj, że nie możesz przekazywać parametrów wymaganych przez Firebase za pomocą setCustomParameters. Są to parametry client_id, response_type, redirect_uri, state, scope i response_mode.

  4. Opcjonalnie: określ dodatkowe zakresy protokołu OAuth 2.0 poza podstawowym profilem, o które chcesz poprosić dostawcę uwierzytelniania.

    Swift

    provider.scopes = ["mail.read", "calendars.read"]

    Objective-C

    [provider setScopes:@[@"mail.read", @"calendars.read"]];

    Sprawdź u dostawcy, jakie zakresy obsługuje.

  5. Opcjonalnie: jeśli chcesz dostosować sposób, w jaki aplikacja wyświetla SFSafariViewController lub UIWebView podczas wyświetlania użytkownikowi reCAPTCHA, utwórz niestandardową klasę zgodną z protokołem AuthUIDelegate.

  6. Uwierzytelnij się w Firebase za pomocą obiektu dostawcy OAuth.

    Swift

    // If you created a custom class that conforms to AuthUIDelegate,
// pass it instead of nil:
provider.getCredentialWith(nil) { credential, error in
  if error != nil {
    // Handle error.
  }
  if credential != nil {
    Auth().signIn(with: credential) { authResult, error in
      if error != nil {
        // Handle error.
      }
      // User is signed in.
      // IdP data available in authResult.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // (authResult.credential as? OAuthCredential)?.accessToken
      // OAuth ID token can also be retrieved:
      // (authResult.credential as? OAuthCredential)?.idToken
    }
  }
}

    Objective-C

    // If you created a custom class that conforms to AuthUIDelegate,
// pass it instead of nil:
[provider getCredentialWithUIDelegate:nil
                            completion:^(FIRAuthCredential *_Nullable credential, NSError *_Nullable error) {
  if (error) {
    // Handle error.
  }
  if (credential) {
    [[FIRAuth auth] signInWithCredential:credential
                              completion:^(FIRAuthDataResult *_Nullable authResult, NSError *_Nullable error) {
      if (error) {
        // Handle error.
      }
      // User is signed in.
      // IdP data available in authResult.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // ((FIROAuthCredential *)authResult.credential).accessToken
      // OAuth ID token can also be retrieved:
      // ((FIROAuthCredential *)authResult.credential).idToken
    }];
  }
}];

  7. Powyższe przykłady dotyczą procesów logowania, ale możesz też połączyć dostawcę OIDC z istniejącym użytkownikiem za pomocą linkWithCredential. Możesz na przykład połączyć wielu dostawców z tym samym użytkownikiem, aby mógł się logować za pomocą dowolnego z nich.

    Swift

    Auth().currentUser.link(withCredential: credential) { authResult, error in
  if error != nil {
    // Handle error.
  }
  // OIDC credential is linked to the current user.
  // IdP data available in authResult.additionalUserInfo.profile.
  // OAuth access token can also be retrieved:
  // (authResult.credential as? OAuthCredential)?.accessToken
  // OAuth ID token can also be retrieved:
  // (authResult.credential as? OAuthCredential)?.idToken
}

    Objective-C

    [[FIRAuth auth].currentUser
    linkWithCredential:credential
            completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
  if (error) {
    // Handle error.
  }
  // OIDC credential is linked to the current user.
  // IdP data available in authResult.additionalUserInfo.profile.
  // OAuth access token can also be retrieved:
  // ((FIROAuthCredential *)authResult.credential).accessToken
  // OAuth ID token can also be retrieved:
  // ((FIROAuthCredential *)authResult.credential).idToken
}];

  8. Tego samego wzorca można używać z reauthenticateWithCredential, którego można użyć do pobrania nowych danych logowania w przypadku operacji wymagających niedawnego logowania.

    Swift

    Auth().currentUser.reauthenticateWithCredential(withCredential: credential) { authResult, error in
  if error != nil {
    // Handle error.
  }
  // User is re-authenticated with fresh tokens minted and
  // should be able to perform sensitive operations like account
  // deletion and email or password update.
  // IdP data available in result.additionalUserInfo.profile.
  // Additional OAuth access token can also be retrieved:
  // (authResult.credential as? OAuthCredential)?.accessToken
  // OAuth ID token can also be retrieved:
  // (authResult.credential as? OAuthCredential)?.idToken
}

    Objective-C

    [[FIRAuth auth].currentUser
    reauthenticateWithCredential:credential
                      completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
  if (error) {
    // Handle error.
  }
  // User is re-authenticated with fresh tokens minted and
  // should be able to perform sensitive operations like account
  // deletion and email or password update.
  // IdP data available in result.additionalUserInfo.profile.
  // Additional OAuth access token can also be retrieved:
  // ((FIROAuthCredential *)authResult.credential).accessToken
  // OAuth ID token can also be retrieved:
  // ((FIROAuthCredential *)authResult.credential).idToken
}];

Ręczna obsługa procesu logowania

Jeśli masz już w aplikacji zaimplementowany proces logowania OpenID Connect, możesz użyć tokena identyfikatora bezpośrednio do uwierzytelnienia w Firebase:

Swift

let credential = OAuthProvider.credential(
    withProviderID: "oidc.example-provider",  // As registered in Firebase console.
    idToken: idToken,  // ID token from OpenID Connect flow.
    rawNonce: nil
)
Auth.auth().signIn(with: credential) { authResult, error in
    if error {
        // Handle error.
        return
    }
    // User is signed in.
    // IdP data available in authResult?.additionalUserInfo?.profile
}

Objective-C

FIROAuthCredential *credential =
    [FIROAuthProvider credentialWithProviderID:@"oidc.example-provider"  // As registered in Firebase console.
                                       IDToken:idToken  // ID token from OpenID Connect flow.
                                      rawNonce:nil];
[[FIRAuth auth] signInWithCredential:credential
                          completion:^(FIRAuthDataResult * _Nullable authResult,
                                      NSError * _Nullable error) {
    if (error != nil) {
        // Handle error.
        return;
    }
    // User is signed in.
    // IdP data available in authResult.additionalUserInfo.profile
}];

Dalsze kroki

Gdy użytkownik zaloguje się po raz pierwszy, zostanie utworzone nowe konto użytkownika i połączone z danymi logowania (nazwą użytkownika i hasłem, numerem telefonu lub informacjami o dostawcy uwierzytelniania), za pomocą których użytkownik się zalogował. To nowe konto jest przechowywane w projekcie w Firebase i może służyć do identyfikowania użytkownika w każdej aplikacji w projekcie, niezależnie od sposobu logowania.

Możesz zezwolić użytkownikom na logowanie się w aplikacji za pomocą wielu dostawców uwierzytelniania przez połączenie danych logowania dostawcy uwierzytelniania z istniejącym kontem użytkownika.

Aby wylogować użytkownika, wywołaj signOut:.

Swift

let firebaseAuth = Auth.auth()
do {
  try firebaseAuth.signOut()
} catch let signOutError as NSError {
  print("Error signing out: %@", signOutError)
}

Objective-C

NSError *signOutError;
BOOL status = [[FIRAuth auth] signOut:&signOutError];
if (!status) {
  NSLog(@"Error signing out: %@", signOutError);
  return;
}

Możesz też dodać kod obsługi błędów, aby obsługiwać wszystkie błędy uwierzytelniania błędów. Zobacz Obsługa błędów.