Аутентификация с использованием OpenID Connect на платформах Apple

Если вы перешли на Firebase Authentication with Identity Platform, вы можете аутентифицировать своих пользователей с помощью Firebase, используя поставщика, совместимого с OpenID Connect (OIDC), по вашему выбору. Это позволяет использовать поставщиков удостоверений, изначально не поддерживаемых Firebase.

Прежде чем вы начнете

Чтобы войти в систему с помощью поставщика OIDC, необходимо сначала получить некоторую информацию от поставщика:

  • Идентификатор клиента : строка, уникальная для поставщика, которая идентифицирует ваше приложение. Ваш провайдер может назначить вам разные идентификаторы клиентов для каждой поддерживаемой вами платформы. Это одно из значений утверждения aud в токенах ID, выданных вашим провайдером.

  • Секрет клиента : секретная строка, которую поставщик использует для подтверждения владения идентификатором клиента. Для каждого идентификатора клиента вам потребуется соответствующий секрет клиента. (Это значение требуется, только если вы используете поток кода авторизации , что настоятельно рекомендуется.)

  • Эмитент : строка, идентифицирующая вашего провайдера. Это значение должно быть URL-адресом, который при добавлении к нему /.well-known/openid-configuration является расположением документа обнаружения OIDC поставщика. Например, если издателем является https://auth.example.com , документ обнаружения должен быть доступен по https://auth.example.com/.well-known/openid-configuration .

Получив указанную выше информацию, включите OpenID Connect в качестве поставщика входа для вашего проекта Firebase:

  1. Добавьте Firebase в свой проект iOS .

  2. Если вы еще не перешли на Firebase Authentication with Identity Platform, сделайте это. Аутентификация OpenID Connect доступна только в обновленных проектах.

  3. На странице «Поставщики входа» в консоли Firebase нажмите «Добавить нового поставщика» , а затем нажмите «OpenID Connect» .

  4. Выберите, будете ли вы использовать поток кода авторизации или неявный поток предоставления .

    Вы всегда должны использовать поток кода, если ваш провайдер поддерживает его . Неявный поток менее безопасен, и его использование настоятельно не рекомендуется.

  5. Дайте имя этому провайдеру. Обратите внимание на сгенерированный идентификатор провайдера: что-то вроде oidc.example-provider . Этот идентификатор понадобится вам при добавлении кода входа в приложение.

  6. Укажите свой идентификатор клиента и секрет клиента, а также строку эмитента вашего провайдера. Эти значения должны точно совпадать со значениями, назначенными вам вашим провайдером.

  7. Сохраните изменения.

Обработка процесса входа с помощью Firebase SDK

Самый простой способ аутентификации пользователей в Firebase с помощью вашего поставщика OIDC — это обработка всего процесса входа с помощью Firebase SDK.

Чтобы обработать процесс входа с помощью SDK Firebase для платформ Apple, выполните следующие действия.

  1. Добавьте пользовательские схемы URL в свой проект Xcode:

    1. Откройте конфигурацию вашего проекта: дважды щелкните имя проекта в левом древовидном представлении. Выберите свое приложение в разделе ЦЕЛИ , затем перейдите на вкладку Информация и разверните раздел Типы URL .
    2. Нажмите кнопку + и добавьте свой закодированный идентификатор приложения в качестве схемы URL. Вы можете найти свой закодированный идентификатор приложения на странице общих настроек консоли Firebase в разделе вашего приложения для iOS. Остальные поля оставьте пустыми.

      По завершении ваша конфигурация должна выглядеть примерно так (но со значениями, специфичными для вашего приложения):

      Снимок экрана пользовательского интерфейса настройки схемы URL-адресов Xcode
  2. Создайте экземпляр OAuthProvider используя идентификатор поставщика, полученный в консоли Firebase.

    Быстрый

    var provider = OAuthProvider(providerID: "oidc.example-provider")
    

    Цель-C

    FIROAuthProvider *provider = [FIROAuthProvider providerWithProviderID:@"oidc.example-provider"];
    
  3. Необязательно : укажите дополнительные настраиваемые параметры OAuth, которые вы хотите отправить с запросом OAuth.

    Быстрый

    provider.customParameters = [
      "login_hint": "user@example.com"
    ]
    

    Цель-C

    [provider setCustomParameters:@{@"login_hint": @"user@example.com"}];
    

    Узнайте у своего провайдера, какие параметры он поддерживает. Обратите внимание, что вы не можете передавать параметры, необходимые для Firebase, с помощью setCustomParameters . Это параметры client_id , response_type , redirect_uri , state , scope и response_mode .

  4. Необязательно : укажите дополнительные области действия OAuth 2.0 помимо базового профиля, которые вы хотите запросить у поставщика проверки подлинности.

    Быстрый

    provider.scopes = ["mail.read", "calendars.read"]
    

    Цель-C

    [provider setScopes:@[@"mail.read", @"calendars.read"]];
    

    Узнайте у своего провайдера, какие области он поддерживает.

  5. Необязательно : если вы хотите настроить способ, которым ваше приложение представляет SFSafariViewController или UIWebView при отображении reCAPTCHA пользователю, создайте собственный класс, соответствующий протоколу AuthUIDelegate .

  6. Выполните аутентификацию в Firebase, используя объект поставщика OAuth.

    Быстрый

    // If you created a custom class that conforms to AuthUIDelegate,
    // pass it instead of nil:
    provider.getCredentialWith(nil) { credential, error in
      if error != nil {
        // Handle error.
      }
      if credential != nil {
        Auth().signIn(with: credential) { authResult, error in
          if error != nil {
            // Handle error.
          }
          // User is signed in.
          // IdP data available in authResult.additionalUserInfo.profile.
          // OAuth access token can also be retrieved:
          // (authResult.credential as? OAuthCredential)?.accessToken
          // OAuth ID token can also be retrieved:
          // (authResult.credential as? OAuthCredential)?.idToken
        }
      }
    }
    

    Цель-C

    // If you created a custom class that conforms to AuthUIDelegate,
    // pass it instead of nil:
    [provider getCredentialWithUIDelegate:nil
                                completion:^(FIRAuthCredential *_Nullable credential, NSError *_Nullable error) {
      if (error) {
        // Handle error.
      }
      if (credential) {
        [[FIRAuth auth] signInWithCredential:credential
                                  completion:^(FIRAuthDataResult *_Nullable authResult, NSError *_Nullable error) {
          if (error) {
            // Handle error.
          }
          // User is signed in.
          // IdP data available in authResult.additionalUserInfo.profile.
          // OAuth access token can also be retrieved:
          // ((FIROAuthCredential *)authResult.credential).accessToken
          // OAuth ID token can also be retrieved:
          // ((FIROAuthCredential *)authResult.credential).idToken
        }];
      }
    }];
    
  7. Хотя в приведенных выше примерах основное внимание уделяется потокам входа, у вас также есть возможность связать поставщика OIDC с существующим пользователем с помощью linkWithCredential . Например, вы можете связать нескольких провайдеров с одним и тем же пользователем, позволяя им входить в систему с помощью любого из них.

    Быстрый

    Auth().currentUser.link(withCredential: credential) { authResult, error in
      if error != nil {
        // Handle error.
      }
      // OIDC credential is linked to the current user.
      // IdP data available in authResult.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // (authResult.credential as? OAuthCredential)?.accessToken
      // OAuth ID token can also be retrieved:
      // (authResult.credential as? OAuthCredential)?.idToken
    }
    

    Цель-C

    [[FIRAuth auth].currentUser
        linkWithCredential:credential
                completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
      if (error) {
        // Handle error.
      }
      // OIDC credential is linked to the current user.
      // IdP data available in authResult.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // ((FIROAuthCredential *)authResult.credential).accessToken
      // OAuth ID token can also be retrieved:
      // ((FIROAuthCredential *)authResult.credential).idToken
    }];
    
  8. Тот же шаблон можно использовать с reauthenticateWithCredential , который можно использовать для получения новых учетных данных для конфиденциальных операций, требующих недавнего входа в систему.

    Быстрый

    Auth().currentUser.reauthenticateWithCredential(withCredential: credential) { authResult, error in
      if error != nil {
        // Handle error.
      }
      // User is re-authenticated with fresh tokens minted and
      // should be able to perform sensitive operations like account
      // deletion and email or password update.
      // IdP data available in result.additionalUserInfo.profile.
      // Additional OAuth access token can also be retrieved:
      // (authResult.credential as? OAuthCredential)?.accessToken
      // OAuth ID token can also be retrieved:
      // (authResult.credential as? OAuthCredential)?.idToken
    }
    

    Цель-C

    [[FIRAuth auth].currentUser
        reauthenticateWithCredential:credential
                          completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
      if (error) {
        // Handle error.
      }
      // User is re-authenticated with fresh tokens minted and
      // should be able to perform sensitive operations like account
      // deletion and email or password update.
      // IdP data available in result.additionalUserInfo.profile.
      // Additional OAuth access token can also be retrieved:
      // ((FIROAuthCredential *)authResult.credential).accessToken
      // OAuth ID token can also be retrieved:
      // ((FIROAuthCredential *)authResult.credential).idToken
    }];
    

Обработка процесса входа вручную

Если вы уже внедрили процесс входа OpenID Connect в свое приложение, вы можете использовать токен ID напрямую для аутентификации в Firebase:

Быстрый

let credential = OAuthProvider.credential(
    withProviderID: "oidc.example-provider",  // As registered in Firebase console.
    idToken: idToken,  // ID token from OpenID Connect flow.
    rawNonce: nil
)
Auth.auth().signIn(with: credential) { authResult, error in
    if error {
        // Handle error.
        return
    }
    // User is signed in.
    // IdP data available in authResult?.additionalUserInfo?.profile
}

Цель-C

FIROAuthCredential *credential =
    [FIROAuthProvider credentialWithProviderID:@"oidc.example-provider"  // As registered in Firebase console.
                                       IDToken:idToken  // ID token from OpenID Connect flow.
                                      rawNonce:nil];
[[FIRAuth auth] signInWithCredential:credential
                          completion:^(FIRAuthDataResult * _Nullable authResult,
                                      NSError * _Nullable error) {
    if (error != nil) {
        // Handle error.
        return;
    }
    // User is signed in.
    // IdP data available in authResult.additionalUserInfo.profile
}];

Следующие шаги

После того, как пользователь входит в систему в первый раз, создается новая учетная запись пользователя и связывается с учетными данными, т. е. с именем пользователя и паролем, номером телефона или информацией о поставщике проверки подлинности, с которыми пользователь вошел в систему. Эта новая учетная запись хранится как часть вашего проекта Firebase и может использоваться для идентификации пользователя во всех приложениях вашего проекта, независимо от того, как пользователь входит в систему.

  • В своих приложениях вы можете получить основную информацию о профиле пользователя из объекта User . См. Управление пользователями .

  • В правилах безопасности базы данных Firebase Realtime и облачного хранилища вы можете получить уникальный идентификатор пользователя, вошедшего в систему, из переменной auth и использовать его для управления тем, к каким данным пользователь может получить доступ.

Вы можете разрешить пользователям входить в ваше приложение с помощью нескольких поставщиков проверки подлинности, связав учетные данные поставщика проверки подлинности с существующей учетной записью пользователя.

Чтобы выйти из системы, вызовите signOut: .

Быстрый

let firebaseAuth = Auth.auth()
do {
  try firebaseAuth.signOut()
} catch let signOutError as NSError {
  print("Error signing out: %@", signOutError)
}

Цель-C

NSError *signOutError;
BOOL status = [[FIRAuth auth] signOut:&signOutError];
if (!status) {
  NSLog(@"Error signing out: %@", signOutError);
  return;
}

Вы также можете добавить код обработки ошибок для всего диапазона ошибок аутентификации. См. Обработка ошибок .