Uwierzytelniaj za pomocą OpenID Connect na platformach Apple

Jeśli masz wersję Firebase Authentication with Identity Platform, możesz uwierzytelniać użytkowników za pomocą Firebase przy użyciu wybranego dostawcy zgodnego z OpenID Connect (OIDC). Dzięki temu można używać dostawców tożsamości, którzy nie są natywnie obsługiwani przez Firebase.

Zanim zaczniesz

Aby logować użytkowników za pomocą dostawcy OIDC, musisz najpierw zebrać od niego pewne informacje:

  • Identyfikator klienta: ciąg znaków unikalny dla dostawcy, który identyfikuje Twoją aplikację. Dostawca może przypisać Ci inny identyfikator klienta dla każdej obsługiwanej platformy. Jest to jedna z wartości roszczenia aud w tokenach identyfikatora wydawanych przez dostawcę.

  • Tajny klucz klienta: tajny ciąg znaków, którego dostawca używa do potwierdzenia własności identyfikatora klienta. Każdy identyfikator klienta musi mieć odpowiadający mu tajny klucz klienta. (Ta wartość jest wymagana tylko wtedy, gdy używasz procesu kodu autoryzacji, co jest zdecydowanie zalecane).

  • Wystawca: ciąg znaków identyfikujący dostawcę. Ta wartość musi być adresem URL, który po dodaniu do niego /.well-known/openid-configuration wskazuje lokalizację dokumentu wykrywania OIDC dostawcy. Jeśli na przykład wystawca to https://auth.example.com, dokument wykrywania musi być dostępny pod adresem https://auth.example.com/.well-known/openid-configuration.

Gdy uzyskasz powyższe informacje, włącz OpenID Connect jako dostawcę logowania w projekcie Firebase:

  1. Dodaj Firebase do projektu na iOS.

  2. Jeśli nie masz jeszcze wersji Firebase Authentication with Identity Platform, zaktualizuj ją. Uwierzytelnianie przy użyciu OpenID Connect jest dostępne tylko w zaktualizowanych projektach.

  3. Na stronie Dostawcy logowania w konsoli Firebase kliknij Dodaj nowego dostawcę, a potem OpenID Connect.

  4. Wybierz, czy będziesz używać przepływu kodu autoryzacji czy przepływu niejawnego.

    Jeśli Twój dostawca tożsamości obsługuje przepływ kodu, zawsze używaj tego przepływu. Przepływ niejawny jest mniej bezpieczny i zdecydowanie odradzamy jego używanie.

  5. Nadaj nazwę temu dostawcy. Zapisz wygenerowany identyfikator dostawcy, np. oidc.example-provider. Ten identyfikator będzie potrzebny podczas dodawania kodu logowania do aplikacji.

  6. Określ identyfikator klienta, tajny klucz klienta i ciąg wydawcy dostawcy. Wartości te muszą być dokładnie takie same jak wartości przypisane przez dostawcę.

  7. Zapisz zmiany.

Obsługa procesu logowania za pomocą pakietu Firebase SDK

Najprostszym sposobem uwierzytelniania użytkowników w Firebase za pomocą dostawcy OIDC jest obsługa całego procesu logowania za pomocą pakietu SDK Firebase.

Aby obsłużyć proces logowania za pomocą pakietu Firebase SDK na platformy Apple, wykonaj te czynności:

  1. Dodaj niestandardowe schematy URL do projektu w Xcode:

    1. Otwórz konfigurację projektu: w widoku drzewa po lewej stronie kliknij dwukrotnie nazwę projektu. W sekcji MIEJSCA DOCELOWE wybierz aplikację, a potem kliknij kartę Informacje i rozwiń sekcję Typy adresów URL.
    2. Kliknij przycisk + i dodaj zakodowany identyfikator aplikacji jako schemat adresu URL. Zakodowany identyfikator aplikacji znajdziesz na stronie Ustawienia ogólne w konsoli Firebase w sekcji dotyczącej aplikacji na iOS. Pozostałe pola pozostaw puste.

      Po zakończeniu konfiguracja powinna wyglądać podobnie do poniższej (ale z wartościami specyficznymi dla Twojej aplikacji):

      Zrzut ekranu interfejsu konfiguracji niestandardowego schematu URI adresu URL w Xcode

  2. Utwórz instancję OAuthProvider, używając identyfikatora dostawcy uzyskanego w konsoli Firebase.

    Swift

    var provider = OAuthProvider(providerID: "oidc.example-provider")

    Objective-C

    FIROAuthProvider *provider = [FIROAuthProvider providerWithProviderID:@"oidc.example-provider"];

  3. Opcjonalnie: określ dodatkowe niestandardowe parametry OAuth, które chcesz wysłać z żądaniem OAuth.

    Swift

    provider.customParameters = [
  "login_hint": "user@example.com"
]

    Objective-C

    [provider setCustomParameters:@{@"login_hint": @"user@example.com"}];

    Skontaktuj się z dostawcą, aby dowiedzieć się, jakie parametry są obsługiwane. Pamiętaj, że nie możesz przekazywać parametrów wymaganych przez Firebase za pomocą znaku setCustomParameters. Te parametry to client_id, response_type, redirect_uri, state, scope i response_mode.

  4. Opcjonalnie: określ dodatkowe zakresy protokołu OAuth 2.0 poza podstawowym profilem, które chcesz przesłać do dostawcy uwierzytelniania.

    Swift

    provider.scopes = ["mail.read", "calendars.read"]

    Objective-C

    [provider setScopes:@[@"mail.read", @"calendars.read"]];

    Skontaktuj się z dostawcą, aby dowiedzieć się, jakie zakresy obsługuje.

  5. Opcjonalnie: jeśli chcesz dostosować sposób wyświetlania przez aplikację symboli SFSafariViewController lub UIWebView podczas wyświetlania użytkownikowi reCAPTCHA, utwórz klasę niestandardową zgodną z protokołem AuthUIDelegate.

  6. Uwierzytelnij w Firebase za pomocą obiektu dostawcy OAuth.

    Swift

    // If you created a custom class that conforms to AuthUIDelegate,
// pass it instead of nil:
provider.getCredentialWith(nil) { credential, error in
  if error != nil {
    // Handle error.
  }
  if credential != nil {
    Auth().signIn(with: credential) { authResult, error in
      if error != nil {
        // Handle error.
      }
      // User is signed in.
      // IdP data available in authResult.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // (authResult.credential as? OAuthCredential)?.accessToken
      // OAuth ID token can also be retrieved:
      // (authResult.credential as? OAuthCredential)?.idToken
    }
  }
}

    Objective-C

    // If you created a custom class that conforms to AuthUIDelegate,
// pass it instead of nil:
[provider getCredentialWithUIDelegate:nil
                            completion:^(FIRAuthCredential *_Nullable credential, NSError *_Nullable error) {
  if (error) {
    // Handle error.
  }
  if (credential) {
    [[FIRAuth auth] signInWithCredential:credential
                              completion:^(FIRAuthDataResult *_Nullable authResult, NSError *_Nullable error) {
      if (error) {
        // Handle error.
      }
      // User is signed in.
      // IdP data available in authResult.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // ((FIROAuthCredential *)authResult.credential).accessToken
      // OAuth ID token can also be retrieved:
      // ((FIROAuthCredential *)authResult.credential).idToken
    }];
  }
}];

  7. Powyższe przykłady dotyczą przepływów logowania, ale możesz też połączyć dostawcę OIDC z istniejącym użytkownikiem za pomocą funkcji linkWithCredential. Możesz na przykład połączyć wielu dostawców z tym samym użytkownikiem, aby mógł on logować się za pomocą dowolnego z nich.

    Swift

    Auth().currentUser.link(withCredential: credential) { authResult, error in
  if error != nil {
    // Handle error.
  }
  // OIDC credential is linked to the current user.
  // IdP data available in authResult.additionalUserInfo.profile.
  // OAuth access token can also be retrieved:
  // (authResult.credential as? OAuthCredential)?.accessToken
  // OAuth ID token can also be retrieved:
  // (authResult.credential as? OAuthCredential)?.idToken
}

    Objective-C

    [[FIRAuth auth].currentUser
    linkWithCredential:credential
            completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
  if (error) {
    // Handle error.
  }
  // OIDC credential is linked to the current user.
  // IdP data available in authResult.additionalUserInfo.profile.
  // OAuth access token can also be retrieved:
  // ((FIROAuthCredential *)authResult.credential).accessToken
  // OAuth ID token can also be retrieved:
  // ((FIROAuthCredential *)authResult.credential).idToken
}];

  8. Tego samego wzorca można używać z funkcją reauthenticateWithCredential, która umożliwia pobieranie nowych danych logowania do operacji wrażliwych wymagających niedawnego zalogowania.

    Swift

    Auth().currentUser.reauthenticateWithCredential(withCredential: credential) { authResult, error in
  if error != nil {
    // Handle error.
  }
  // User is re-authenticated with fresh tokens minted and
  // should be able to perform sensitive operations like account
  // deletion and email or password update.
  // IdP data available in result.additionalUserInfo.profile.
  // Additional OAuth access token can also be retrieved:
  // (authResult.credential as? OAuthCredential)?.accessToken
  // OAuth ID token can also be retrieved:
  // (authResult.credential as? OAuthCredential)?.idToken
}

    Objective-C

    [[FIRAuth auth].currentUser
    reauthenticateWithCredential:credential
                      completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
  if (error) {
    // Handle error.
  }
  // User is re-authenticated with fresh tokens minted and
  // should be able to perform sensitive operations like account
  // deletion and email or password update.
  // IdP data available in result.additionalUserInfo.profile.
  // Additional OAuth access token can also be retrieved:
  // ((FIROAuthCredential *)authResult.credential).accessToken
  // OAuth ID token can also be retrieved:
  // ((FIROAuthCredential *)authResult.credential).idToken
}];

Ręczne obsługiwanie procesu logowania

Jeśli w aplikacji masz już zaimplementowany proces logowania przy użyciu OpenID Connect, możesz użyć tokena identyfikatora bezpośrednio do uwierzytelniania w Firebase:

Swift

let credential = OAuthProvider.credential(
    withProviderID: "oidc.example-provider",  // As registered in Firebase console.
    idToken: idToken,  // ID token from OpenID Connect flow.
    rawNonce: nil
)
Auth.auth().signIn(with: credential) { authResult, error in
    if error {
        // Handle error.
        return
    }
    // User is signed in.
    // IdP data available in authResult?.additionalUserInfo?.profile
}

Objective-C

FIROAuthCredential *credential =
    [FIROAuthProvider credentialWithProviderID:@"oidc.example-provider"  // As registered in Firebase console.
                                       IDToken:idToken  // ID token from OpenID Connect flow.
                                      rawNonce:nil];
[[FIRAuth auth] signInWithCredential:credential
                          completion:^(FIRAuthDataResult * _Nullable authResult,
                                      NSError * _Nullable error) {
    if (error != nil) {
        // Handle error.
        return;
    }
    // User is signed in.
    // IdP data available in authResult.additionalUserInfo.profile
}];

Dalsze kroki

Gdy użytkownik zaloguje się po raz pierwszy, zostanie utworzone nowe konto użytkownika i połączone z danymi logowania, czyli nazwą użytkownika i hasłem, numerem telefonu lub informacjami o dostawcy uwierzytelniania, za pomocą których użytkownik się zalogował. Nowe konto jest przechowywane w projekcie w Firebase i może służyć do identyfikowania użytkownika we wszystkich aplikacjach w projekcie, niezależnie od sposobu logowania.

  • W aplikacjach możesz uzyskać podstawowe informacje o profilu użytkownika z obiektu User . Zobacz Zarządzanie użytkownikami.

  • W Firebase Realtime Database i Cloud Storage regułach bezpieczeństwa możesz pobrać unikalny identyfikator użytkownika zalogowanego ze zmiennej auth i użyć go do kontrolowania, do jakich danych użytkownik ma dostęp.

Możesz zezwolić użytkownikom na logowanie się w aplikacji za pomocą wielu dostawców uwierzytelniania, łącząc dane logowania dostawcy uwierzytelniania z istniejącym kontem użytkownika.

Aby wylogować użytkownika, wywołaj funkcję signOut:.

Swift

let firebaseAuth = Auth.auth()
do {
  try firebaseAuth.signOut()
} catch let signOutError as NSError {
  print("Error signing out: %@", signOutError)
}

Objective-C

NSError *signOutError;
BOOL status = [[FIRAuth auth] signOut:&signOutError];
if (!status) {
  NSLog(@"Error signing out: %@", signOutError);
  return;
}

Możesz też dodać kod obsługi błędów dla pełnego zakresu błędów uwierzytelniania. Patrz Obsługa błędów.