Apple platformlarında OpenID Connect Kullanarak Kimlik Doğrulama

Identity Platform ile Firebase Kimlik Doğrulamasına yükseltme yaptıysanız, seçtiğiniz OpenID Connect (OIDC) uyumlu sağlayıcıyı kullanarak kullanıcılarınızın kimliklerini Firebase ile doğrulayabilirsiniz. Bu, Firebase tarafından yerel olarak desteklenmeyen kimlik sağlayıcıların kullanılmasını mümkün kılar.

Sen başlamadan önce

Bir OIDC sağlayıcısını kullanarak kullanıcıların oturum açmasını sağlamak için öncelikle sağlayıcıdan bazı bilgiler toplamanız gerekir:

• İstemci Kimliği : Uygulamanızı tanımlayan, sağlayıcıya özgü benzersiz bir dize. Sağlayıcınız, desteklediğiniz her platform için size farklı bir müşteri kimliği atayabilir. Bu, sağlayıcınız tarafından verilen kimlik belirteçlerindeki aud talebinin değerlerinden biridir.

• Müşteri sırrı : Sağlayıcının bir müşteri kimliğinin sahipliğini onaylamak için kullandığı gizli bir dize. Her müşteri kimliği için eşleşen bir müşteri sırrına ihtiyacınız olacaktır. (Bu değer yalnızca kimlik doğrulama kodu akışını kullanıyorsanız gereklidir; bu kesinlikle önerilir.)

• Veren : Sağlayıcınızı tanımlayan bir dize. Bu değer, /.well-known/openid-configuration ile eklendiğinde sağlayıcının OIDC keşif belgesinin konumu olan bir URL olmalıdır. Örneğin, veren https://auth.example.com ise keşif belgesinin https://auth.example.com/.well-known/openid-configuration adresinde mevcut olması gerekir.

Yukarıdaki bilgileri aldıktan sonra Firebase projeniz için oturum açma sağlayıcısı olarak OpenID Connect'i etkinleştirin:

1. Firebase'i iOS projenize ekleyin .

2. Firebase Authentication with Identity Platform'a yükseltme yapmadıysanız bunu yapın. OpenID Connect kimlik doğrulaması yalnızca yükseltilmiş projelerde kullanılabilir.

3. Firebase konsolunun Oturum açma sağlayıcıları sayfasında Yeni sağlayıcı ekle 'ye ve ardından OpenID Connect'e tıklayın.

4. Yetkilendirme kodu akışını mı yoksa örtülü izin akışını mı kullanacağınızı seçin.

   Sağlayıcınız destekliyorsa her zaman kod akışını kullanmalısınız . Örtülü akış daha az güvenlidir ve kullanılması kesinlikle önerilmez.

5. Bu sağlayıcıya bir ad verin. Oluşturulan sağlayıcı kimliğini not edin: oidc.example-provider gibi bir şey. Uygulamanıza oturum açma kodunu eklediğinizde bu kimliğe ihtiyacınız olacak.

6. Müşteri kimliğinizi, müşteri sırrınızı ve sağlayıcınızın sağlayıcı dizesini belirtin. Bu değerler, sağlayıcınızın size atadığı değerlerle tam olarak eşleşmelidir.

7. Değişikliklerinizi kaydedin.

Oturum açma akışını Firebase SDK ile yönetin

OIDC sağlayıcınızı kullanarak Firebase ile kullanıcılarınızın kimliklerini doğrulamanın en kolay yolu, tüm oturum açma akışını Firebase SDK ile yönetmektir.

Firebase Apple platformları SDK'sıyla oturum açma akışını yönetmek için şu adımları izleyin:

1. Xcode projenize özel URL şemaları ekleyin:

   1. Proje konfigürasyonunuzu açın: sol ağaç görünümünde proje adına çift tıklayın. HEDEFLER bölümünden uygulamanızı seçin, ardından Bilgi sekmesini seçin ve URL Türleri bölümünü genişletin.
   2. + düğmesini tıklayın ve Kodlanmış Uygulama Kimliğinizi bir URL şeması olarak ekleyin. Kodlanmış Uygulama Kimliğinizi Firebase konsolunun Genel Ayarlar sayfasında, iOS uygulamanıza ait bölümde bulabilirsiniz. Diğer alanları boş bırakın.

      Tamamlandığında, yapılandırmanız aşağıdakine benzer bir şekilde görünmelidir (ancak uygulamaya özel değerlerinizle):

      

2. Firebase konsolunda aldığınız sağlayıcı kimliğini kullanarak bir OAuthProvider örneği oluşturun.

   Süratli

   var provider = OAuthProvider(providerID: "oidc.example-provider")
   

   Amaç-C

   FIROAuthProvider *provider = [FIROAuthProvider providerWithProviderID:@"oidc.example-provider"];
   

3. İsteğe bağlı : OAuth isteğiyle birlikte göndermek istediğiniz ek özel OAuth parametrelerini belirtin.

   Süratli

   provider.customParameters = [
     "login_hint": "user@example.com"
   ]
   

   Amaç-C

   [provider setCustomParameters:@{@"login_hint": @"user@example.com"}];
   

   Desteklediği parametreler için sağlayıcınıza danışın. Firebase için gerekli parametreleri setCustomParameters ile iletemeyeceğinizi unutmayın. Bu parametreler client_id , response_type , redirect_uri , state , scope ve response_mode .

4. İsteğe bağlı : Kimlik doğrulama sağlayıcısından istemek istediğiniz temel profilin ötesinde ek OAuth 2.0 kapsamlarını belirtin.

   Süratli

   provider.scopes = ["mail.read", "calendars.read"]
   

   Amaç-C

   [provider setScopes:@[@"mail.read", @"calendars.read"]];
   

   Desteklediği kapsamlar için sağlayıcınıza danışın.

5. İsteğe bağlı : Uygulamanızın, reCAPTCHA'yı kullanıcıya görüntülerken SFSafariViewController veya UIWebView sunma biçimini özelleştirmek istiyorsanız AuthUIDelegate protokolüne uygun özel bir sınıf oluşturun.

6. OAuth sağlayıcı nesnesini kullanarak Firebase ile kimlik doğrulaması yapın.

   Süratli

   // If you created a custom class that conforms to AuthUIDelegate,
   // pass it instead of nil:
   provider.getCredentialWith(nil) { credential, error in
     if error != nil {
       // Handle error.
     }
     if credential != nil {
       Auth().signIn(with: credential) { authResult, error in
         if error != nil {
           // Handle error.
         }
         // User is signed in.
         // IdP data available in authResult.additionalUserInfo.profile.
         // OAuth access token can also be retrieved:
         // (authResult.credential as? OAuthCredential)?.accessToken
         // OAuth ID token can also be retrieved:
         // (authResult.credential as? OAuthCredential)?.idToken
       }
     }
   }
   

   Amaç-C

   // If you created a custom class that conforms to AuthUIDelegate,
   // pass it instead of nil:
   [provider getCredentialWithUIDelegate:nil
                               completion:^(FIRAuthCredential *_Nullable credential, NSError *_Nullable error) {
     if (error) {
       // Handle error.
     }
     if (credential) {
       [[FIRAuth auth] signInWithCredential:credential
                                 completion:^(FIRAuthDataResult *_Nullable authResult, NSError *_Nullable error) {
         if (error) {
           // Handle error.
         }
         // User is signed in.
         // IdP data available in authResult.additionalUserInfo.profile.
         // OAuth access token can also be retrieved:
         // ((FIROAuthCredential *)authResult.credential).accessToken
         // OAuth ID token can also be retrieved:
         // ((FIROAuthCredential *)authResult.credential).idToken
       }];
     }
   }];
   

7. Yukarıdaki örnekler oturum açma akışlarına odaklansa da, linkWithCredential kullanarak bir OIDC sağlayıcısını mevcut bir kullanıcıya bağlama olanağınız da vardır. Örneğin, birden fazla sağlayıcıyı aynı kullanıcıya bağlayarak onların ikisinden biriyle oturum açmasına olanak tanıyabilirsiniz.

   Süratli

   Auth().currentUser.link(withCredential: credential) { authResult, error in
     if error != nil {
       // Handle error.
     }
     // OIDC credential is linked to the current user.
     // IdP data available in authResult.additionalUserInfo.profile.
     // OAuth access token can also be retrieved:
     // (authResult.credential as? OAuthCredential)?.accessToken
     // OAuth ID token can also be retrieved:
     // (authResult.credential as? OAuthCredential)?.idToken
   }
   

   Amaç-C

   [[FIRAuth auth].currentUser
       linkWithCredential:credential
               completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
     if (error) {
       // Handle error.
     }
     // OIDC credential is linked to the current user.
     // IdP data available in authResult.additionalUserInfo.profile.
     // OAuth access token can also be retrieved:
     // ((FIROAuthCredential *)authResult.credential).accessToken
     // OAuth ID token can also be retrieved:
     // ((FIROAuthCredential *)authResult.credential).idToken
   }];
   

8. Aynı model, yakın zamanda oturum açmayı gerektiren hassas işlemler için yeni kimlik bilgileri almak amacıyla kullanılabilecek reauthenticateWithCredential ile de kullanılabilir.

   Süratli

   Auth().currentUser.reauthenticateWithCredential(withCredential: credential) { authResult, error in
     if error != nil {
       // Handle error.
     }
     // User is re-authenticated with fresh tokens minted and
     // should be able to perform sensitive operations like account
     // deletion and email or password update.
     // IdP data available in result.additionalUserInfo.profile.
     // Additional OAuth access token can also be retrieved:
     // (authResult.credential as? OAuthCredential)?.accessToken
     // OAuth ID token can also be retrieved:
     // (authResult.credential as? OAuthCredential)?.idToken
   }
   

   Amaç-C

   [[FIRAuth auth].currentUser
       reauthenticateWithCredential:credential
                         completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
     if (error) {
       // Handle error.
     }
     // User is re-authenticated with fresh tokens minted and
     // should be able to perform sensitive operations like account
     // deletion and email or password update.
     // IdP data available in result.additionalUserInfo.profile.
     // Additional OAuth access token can also be retrieved:
     // ((FIROAuthCredential *)authResult.credential).accessToken
     // OAuth ID token can also be retrieved:
     // ((FIROAuthCredential *)authResult.credential).idToken
   }];
   

Oturum açma akışını manuel olarak yönetin

Uygulamanızda OpenID Connect oturum açma akışını zaten uyguladıysanız Firebase ile kimlik doğrulamak için kimlik belirtecini doğrudan kullanabilirsiniz:

let credential = OAuthProvider.credential(
    withProviderID: "oidc.example-provider",  // As registered in Firebase console.
    idToken: idToken,  // ID token from OpenID Connect flow.
    rawNonce: nil
)
Auth.auth().signIn(with: credential) { authResult, error in
    if error {
        // Handle error.
        return
    }
    // User is signed in.
    // IdP data available in authResult?.additionalUserInfo?.profile
}

FIROAuthCredential *credential =
    [FIROAuthProvider credentialWithProviderID:@"oidc.example-provider"  // As registered in Firebase console.
                                       IDToken:idToken  // ID token from OpenID Connect flow.
                                      rawNonce:nil];
[[FIRAuth auth] signInWithCredential:credential
                          completion:^(FIRAuthDataResult * _Nullable authResult,
                                      NSError * _Nullable error) {
    if (error != nil) {
        // Handle error.
        return;
    }
    // User is signed in.
    // IdP data available in authResult.additionalUserInfo.profile
}];

Sonraki adımlar

Bir kullanıcı ilk kez oturum açtıktan sonra, yeni bir kullanıcı hesabı oluşturulur ve oturum açan kullanıcının kimlik bilgileriyle (yani kullanıcı adı ve parolası, telefon numarası veya kimlik doğrulama sağlayıcı bilgileri) ilişkilendirilir. Bu yeni hesap, Firebase projenizin bir parçası olarak depolanır ve kullanıcının nasıl oturum açtığına bakılmaksızın projenizdeki her uygulamada bir kullanıcıyı tanımlamak için kullanılabilir.

• Uygulamalarınızda kullanıcının temel profil bilgilerini User nesnesinden alabilirsiniz. Bkz . Kullanıcıları Yönetme .

• Firebase Gerçek Zamanlı Veritabanı ve Bulut Depolama Güvenliği Kurallarınızda , oturum açan kullanıcının benzersiz kullanıcı kimliğini auth değişkeninden alabilir ve bunu, kullanıcının hangi verilere erişebileceğini kontrol etmek için kullanabilirsiniz.

Kimlik doğrulama sağlayıcısı kimlik bilgilerini mevcut bir kullanıcı hesabına bağlayarak kullanıcıların birden fazla kimlik doğrulama sağlayıcısı kullanarak uygulamanızda oturum açmasına izin verebilirsiniz.

Bir kullanıcının oturumunu kapatmak için signOut: öğesini çağırın.

let firebaseAuth = Auth.auth()
do {
  try firebaseAuth.signOut()
} catch let signOutError as NSError {
  print("Error signing out: %@", signOutError)
}

NSError *signOutError;
BOOL status = [[FIRAuth auth] signOut:&signOutError];
if (!status) {
  NSLog(@"Error signing out: %@", signOutError);
  return;
}

Kimlik doğrulama hatalarının tamamı için hata işleme kodunu da eklemek isteyebilirsiniz. Bkz. Hataları İşleme .