如果您已升级到使用 Identity Platform 进行 Firebase 身份验证,则可以使用您选择的兼容 OpenID Connect (OIDC) 的提供商通过 Firebase 对您的用户进行身份验证。这使得使用 Firebase 本身不支持的身份提供者成为可能。
在你开始之前
要使用 OIDC 提供商登录用户,您必须首先从提供商那里收集一些信息:
Client ID :供应商唯一的字符串,用于标识您的应用程序。您的提供商可能会为您支持的每个平台分配不同的客户端 ID。这是您的提供商发布的 ID 令牌中
aud声明的值之一。Client secret :提供商用来确认客户端 ID 所有权的秘密字符串。对于每个客户端 ID,您都需要一个匹配的客户端密码。 (仅当您使用auth code flow时才需要此值,强烈建议这样做。)
Issuer :标识您的提供商的字符串。此值必须是一个 URL,当附加
/.well-known/openid-configuration时,它是提供者的 OIDC 发现文档的位置。例如,如果发行者是https://auth.example.com,则发现文档必须在https://auth.example.com/.well-known/openid-configuration可用。
获得上述信息后,启用 OpenID Connect 作为您的 Firebase 项目的登录提供程序:
如果您尚未升级到 Firebase Authentication with Identity Platform,请执行此操作。 OpenID Connect 身份验证仅在升级后的项目中可用。
在 Firebase 控制台的Sign-in providers页面上,点击Add new provider ,然后点击OpenID Connect 。
选择您将使用授权代码流还是隐式授权流。
如果您的提供商支持,您应该始终使用代码流。隐式流不太安全,强烈建议不要使用它。
给这个提供者一个名字。请注意生成的提供者 ID:类似
oidc.example-provider的东西。当您将登录代码添加到您的应用程序时,您将需要此 ID。指定您的客户端 ID 和客户端密码,以及您的提供商的颁发者字符串。这些值必须与您的提供商分配给您的值完全匹配。
保存您的更改。
使用 Firebase SDK 处理登录流程
使用 OIDC 提供商通过 Firebase 对用户进行身份验证的最简单方法是使用 Firebase SDK 处理整个登录流程。
要使用 Firebase Apple 平台 SDK 处理登录流程,请执行以下步骤:
将自定义 URL 方案添加到您的 Xcode 项目:
- 打开您的项目配置:双击左侧树视图中的项目名称。从TARGETS部分选择您的应用程序,然后选择Info选项卡,并展开URL Types部分。
- 单击+按钮,并为您的反向客户端 ID 添加 URL 方案。要查找此值,请打开
GoogleService-Info.plist REVERSED_CLIENT_ID键。复制该键的值,并将其粘贴到配置页面上的URL Schemes框中。将其他字段留空。完成后,您的配置应类似于以下内容(但具有特定于应用程序的值):
使用您在 Firebase 控制台中获得的提供商 ID 创建
OAuthProvider的实例。迅速
var provider = OAuthProvider(providerID: "oidc.example-provider")目标-C
FIROAuthProvider *provider = [FIROAuthProvider providerWithProviderID:@"oidc.example-provider"];可选:指定要与 OAuth 请求一起发送的其他自定义 OAuth 参数。
迅速
provider.customParameters = [ "login_hint": "user@example.com" ]目标-C
[provider setCustomParameters:@{@"login_hint": @"user@example.com"}];请与您的提供商核实其支持的参数。请注意,您不能使用
setCustomParameters传递 Firebase 所需的参数。这些参数是client_id、response_type、redirect_uri、state、scope和response_mode。可选:指定要从身份验证提供程序请求的基本配置文件之外的其他 OAuth 2.0 范围。
迅速
provider.scopes = ["mail.read", "calendars.read"]目标-C
[provider setScopes:@[@"mail.read", @"calendars.read"]];请咨询您的提供商以了解其支持的范围。
可选:如果您想自定义您的应用在向用户显示 reCAPTCHA 时呈现
SFSafariViewController或UIWebView的方式,请创建一个符合AuthUIDelegate协议的自定义类。使用 OAuth 提供程序对象通过 Firebase 进行身份验证。
迅速
// If you created a custom class that conforms to AuthUIDelegate, // pass it instead of nil: provider.getCredentialWith(nil) { credential, error in if error != nil { // Handle error. } if credential != nil { Auth().signIn(with: credential) { authResult, error in if error != nil { // Handle error. } // User is signed in. // IdP data available in authResult.additionalUserInfo.profile. // OAuth access token can also be retrieved: // (authResult.credential as? OAuthCredential)?.accessToken // OAuth ID token can also be retrieved: // (authResult.credential as? OAuthCredential)?.idToken } } }目标-C
// If you created a custom class that conforms to AuthUIDelegate, // pass it instead of nil: [provider getCredentialWithUIDelegate:nil completion:^(FIRAuthCredential *_Nullable credential, NSError *_Nullable error) { if (error) { // Handle error. } if (credential) { [[FIRAuth auth] signInWithCredential:credential completion:^(FIRAuthDataResult *_Nullable authResult, NSError *_Nullable error) { if (error) { // Handle error. } // User is signed in. // IdP data available in authResult.additionalUserInfo.profile. // OAuth access token can also be retrieved: // ((FIROAuthCredential *)authResult.credential).accessToken // OAuth ID token can also be retrieved: // ((FIROAuthCredential *)authResult.credential).idToken }]; } }];虽然上述示例侧重于登录流程,但您也可以使用
linkWithCredential将 OIDC 提供商链接到现有用户。例如,您可以将多个提供商链接到同一个用户,允许他们使用其中任何一个登录。迅速
Auth().currentUser.link(withCredential: credential) { authResult, error in if error != nil { // Handle error. } // OIDC credential is linked to the current user. // IdP data available in authResult.additionalUserInfo.profile. // OAuth access token can also be retrieved: // (authResult.credential as? OAuthCredential)?.accessToken // OAuth ID token can also be retrieved: // (authResult.credential as? OAuthCredential)?.idToken }目标-C
[[FIRAuth auth].currentUser linkWithCredential:credential completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) { if (error) { // Handle error. } // OIDC credential is linked to the current user. // IdP data available in authResult.additionalUserInfo.profile. // OAuth access token can also be retrieved: // ((FIROAuthCredential *)authResult.credential).accessToken // OAuth ID token can also be retrieved: // ((FIROAuthCredential *)authResult.credential).idToken }];相同的模式可以与
reauthenticateWithCredential一起使用,它可用于为需要最近登录的敏感操作检索新的凭据。迅速
Auth().currentUser.reauthenticateWithCredential(withCredential: credential) { authResult, error in if error != nil { // Handle error. } // User is re-authenticated with fresh tokens minted and // should be able to perform sensitive operations like account // deletion and email or password update. // IdP data available in result.additionalUserInfo.profile. // Additional OAuth access token can also be retrieved: // (authResult.credential as? OAuthCredential)?.accessToken // OAuth ID token can also be retrieved: // (authResult.credential as? OAuthCredential)?.idToken }目标-C
[[FIRAuth auth].currentUser reauthenticateWithCredential:credential completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) { if (error) { // Handle error. } // User is re-authenticated with fresh tokens minted and // should be able to perform sensitive operations like account // deletion and email or password update. // IdP data available in result.additionalUserInfo.profile. // Additional OAuth access token can also be retrieved: // ((FIROAuthCredential *)authResult.credential).accessToken // OAuth ID token can also be retrieved: // ((FIROAuthCredential *)authResult.credential).idToken }];
手动处理登录流程
如果您已经在应用中实施了 OpenID Connect 登录流程,则可以直接使用 ID 令牌向 Firebase 进行身份验证:
迅速
let credential = OAuthProvider.credential(
withProviderID: "oidc.example-provider", // As registered in Firebase console.
idToken: idToken, // ID token from OpenID Connect flow.
rawNonce: nil
)
Auth.auth().signIn(with: credential) { authResult, error in
if error {
// Handle error.
return
}
// User is signed in.
// IdP data available in authResult?.additionalUserInfo?.profile
}
目标-C
FIROAuthCredential *credential =
[FIROAuthProvider credentialWithProviderID:@"oidc.example-provider" // As registered in Firebase console.
IDToken:idToken // ID token from OpenID Connect flow.
rawNonce:nil];
[[FIRAuth auth] signInWithCredential:credential
completion:^(FIRAuthDataResult * _Nullable authResult,
NSError * _Nullable error) {
if (error != nil) {
// Handle error.
return;
}
// User is signed in.
// IdP data available in authResult.additionalUserInfo.profile
}];
下一步
用户首次登录后,将创建一个新的用户帐户并将其链接到用户登录所用的凭据,即用户名和密码、电话号码或身份验证提供商信息。这个新帐户存储为您的 Firebase 项目的一部分,可用于在项目中的每个应用程序中识别用户,无论用户如何登录。
在您的 Firebase Realtime Database 和 Cloud Storage Security Rules中,您可以从
auth变量中获取登录用户的唯一用户 ID,并使用它来控制用户可以访问哪些数据。
您可以允许用户使用多个身份验证提供程序登录您的应用程序,方法是将身份验证提供程序凭据链接到现有用户帐户。
要注销用户,请调用signOut: 。
迅速
let firebaseAuth = Auth.auth()
do {
try firebaseAuth.signOut()
} catch let signOutError as NSError {
print("Error signing out: %@", signOutError)
}
目标-C
NSError *signOutError;
BOOL status = [[FIRAuth auth] signOut:&signOutError];
if (!status) {
NSLog(@"Error signing out: %@", signOutError);
return;
}
您可能还想为所有身份验证错误添加错误处理代码。请参阅处理错误。