在 JavaScript 中使用 Google 登录服务进行身份验证

您可以将 Google 登录机制集成到您的应用中，让您的用户可使用自己的 Google 帐号进行 Firebase 身份验证。集成 Google 登录的方法有两种：使用 Firebase SDK 执行登录流程；手动执行 Google 登录流程并将生成的 ID 令牌传递给 Firebase。

准备工作

将 Firebase 添加至您的 JavaScript 项目。
在 Firebase 控制台中启用 Google 登录：
1. 在 Firebase 控制台中，打开 Auth（身份验证）部分。
2. 在登录方法标签页中，启用 Google 登录方法并点击保存。

使用 Firebase SDK 处理登录流程

如果您是在构建 Web 应用，想要通过用户的 Google 帐号对其进行 Firebase 身份验证，最简单的方法是使用 Firebase JavaScript SDK 来处理登录流程。（如果您希望在 Node.js 或其他非浏览器环境中对用户进行身份验证，则必须手动处理登录流程。）

如需使用 Firebase JavaScript SDK 处理登录流程，请按以下步骤操作：

创建 Google 提供方对象实例：

var provider = new firebase.auth.GoogleAuthProvider();

可选：指定您希望向身份验证提供方请求的额外 OAuth 2.0 范围。如需添加范围，请调用 addScope。例如：
```
provider.addScope('https://www.googleapis.com/auth/contacts.readonly');
```
请参阅身份验证提供方文档。
可选：要在无需明确传递相关自定义 OAuth 参数的情况下将提供方的 OAuth 流程本地化为用户偏好的语言，请在启动 OAuth 流程之前先更新 Auth 实例中的语言代码。例如：
```
firebase.auth().languageCode = 'pt';
// To apply the default browser preference instead of explicitly setting it.
// firebase.auth().useDeviceLanguage();
```
可选：指定您希望通过 OAuth 请求发送的其他自定义 OAuth 提供方参数。如需添加自定义参数，请使用包含 OAuth 提供方文档中指定的键及相应值的对象，调用已初始化的提供方的 setCustomParameters 方法。例如：
```
provider.setCustomParameters({
  'login_hint': 'user@example.com'
});
```
禁止使用保留的必需 OAuth 参数，系统将忽略此类参数。请参阅身份验证提供方参考资料了解更多详细信息。

使用 Google 提供方对象进行 Firebase 身份验证：您可以通过打开弹出式窗口或重定向至登录页面，提示用户使用自己的 Google 帐号登录。在移动设备上最好使用重定向方法。

要使用弹出式窗口登录，请调用 signInWithPopup：

firebase.auth().signInWithPopup(provider).then(function(result) {
  // This gives you a Google Access Token. You can use it to access the Google API.
  var token = result.credential.accessToken;
  // The signed-in user info.
  var user = result.user;
  // ...
}).catch(function(error) {
  // Handle Errors here.
  var errorCode = error.code;
  var errorMessage = error.message;
  // The email of the user's account used.
  var email = error.email;
  // The firebase.auth.AuthCredential type that was used.
  var credential = error.credential;
  // ...
});

此外请注意，您可以检索 Google 提供方的 OAuth 令牌，使用该令牌可通过 Google API 提取额外数据。

您还可以在此处发现并处理错误。要获取错误代码列表，请参阅身份验证参考文档。

要用重定向至登录页面的方法登录，请调用 signInWithRedirect：

firebase.auth().signInWithRedirect(provider);

然后，您还可以在页面加载时通过调用 getRedirectResult 来检索 Google 提供方的 OAuth 令牌：

firebase.auth().getRedirectResult().then(function(result) {
  if (result.credential) {
    // This gives you a Google Access Token. You can use it to access the Google API.
    var token = result.credential.accessToken;
    // ...
  }
  // The signed-in user info.
  var user = result.user;
}).catch(function(error) {
  // Handle Errors here.
  var errorCode = error.code;
  var errorMessage = error.message;
  // The email of the user's account used.
  var email = error.email;
  // The firebase.auth.AuthCredential type that was used.
  var credential = error.credential;
  // ...
});

您还可以在此处发现并处理错误。要获取错误代码列表，请参阅身份验证参考文档。

处理“account-exists-with-different-credential”错误

如果您在 Firebase 控制台中启用了每个电子邮件地址一个帐号设置，当用户尝试使用另一个 Firebase 用户的提供方服务（例如 Facebook）中已存在的电子邮件地址登录一个提供方服务（例如 Google）时，系统会抛出 auth/account-exists-with-different-credential 错误及 AuthCredential 对象（Google ID 令牌）。要登录到所需的提供方服务，用户必须先登录到现有提供方服务 (Facebook)，然后关联至之前的 AuthCredential（Google ID 令牌）。

弹出模式

如果使用的是 signInWithPopup，您可以使用下例所示的代码来处理 auth/account-exists-with-different-credential 错误：


// Step 1.
// User tries to sign in to Google.
auth.signInWithPopup(new firebase.auth.GoogleAuthProvider()).catch(function(error) {
  // An error happened.
  if (error.code === 'auth/account-exists-with-different-credential') {
    // Step 2.
    // User's email already exists.
    // The pending Google credential.
    var pendingCred = error.credential;
    // The provider account's email address.
    var email = error.email;
    // Get sign-in methods for this email.
    auth.fetchSignInMethodsForEmail(email).then(function(methods) {
      // Step 3.
      // If the user has several sign-in methods,
      // the first method in the list will be the "recommended" method to use.
      if (methods[0] === 'password') {
        // Asks the user their password.
        // In real scenario, you should handle this asynchronously.
        var password = promptUserForPassword(); // TODO: implement promptUserForPassword.
        auth.signInWithEmailAndPassword(email, password).then(function(user) {
          // Step 4a.
          return user.linkWithCredential(pendingCred);
        }).then(function() {
          // Google account successfully linked to the existing Firebase user.
          goToApp();
        });
        return;
      }
      // All the other cases are external providers.
      // Construct provider object for that provider.
      // TODO: implement getProviderForProviderId.
      var provider = getProviderForProviderId(methods[0]);
      // At this point, you should let the user know that he already has an account
      // but with a different provider, and let him validate the fact he wants to
      // sign in with this provider.
      // Sign in to provider. Note: browsers usually block popup triggered asynchronously,
      // so in real scenario you should ask the user to click on a "continue" button
      // that will trigger the signInWithPopup.
      auth.signInWithPopup(provider).then(function(result) {
        // Remember that the user may have signed in with an account that has a different email
        // address than the first one. This can happen as Firebase doesn't control the provider's
        // sign in flow and the user is free to login using whichever account he owns.
        // Step 4b.
        // Link to Google credential.
        // As we have access to the pending credential, we can directly call the link method.
        result.user.linkAndRetrieveDataWithCredential(pendingCred).then(function(usercred) {
          // Google account successfully linked to the existing Firebase user.
          goToApp();
        });
      });
    });
  }
});

重定向模式

在重定向模式中处理该错误的方法类似，不同的是待处理凭据必须在页面重定向之间缓存（例如，使用会话存储）。

高级：手动处理登录流程

您还可以通过 Google Sign-In SDK 来处理登录流程，以便使用 Google 帐号进行 Firebase 身份验证：

按照集成指南中的说明，将 Google 登录集成到您的应用中。务必使用为您的 Firebase 项目生成的 Google 客户端 ID 来配置 Google 登录。您可以在项目的开发者控制台的“凭据”页面中找到为该项目生成的 Google 客户端 ID。然后替换：
```

<meta name="google-signin-client_id" content="YOUR_CLIENT_ID">
<meta name="google-signin-cookiepolicy" content="single_host_origin">
<meta name="google-signin-scope" content="profile email">
```
集成 Google 登录之后，您的网页上会显示一个“Google 登录”按钮，该按钮配置有回调函数，如下例所示：
```
<div class="g-signin2" data-onsuccess="onSignIn" data-theme="dark"></div>
```

在登录按钮的结果回调函数中，使用 Google 身份验证响应中的 ID 令牌来换取 Firebase 凭据，然后登录 Firebase：

function onSignIn(googleUser) {
  console.log('Google Auth Response', googleUser);
  // We need to register an Observer on Firebase Auth to make sure auth is initialized.
  var unsubscribe = firebase.auth().onAuthStateChanged(function(firebaseUser) {
    unsubscribe();
    // Check if we are already signed-in Firebase with the correct user.
    if (!isUserEqual(googleUser, firebaseUser)) {
      // Build Firebase credential with the Google ID token.
      var credential = firebase.auth.GoogleAuthProvider.credential(
          googleUser.getAuthResponse().id_token);
      // Sign in with credential from the Google user.
      firebase.auth().signInAndRetrieveDataWithCredential(credential).catch(function(error) {
        // Handle Errors here.
        var errorCode = error.code;
        var errorMessage = error.message;
        // The email of the user's account used.
        var email = error.email;
        // The firebase.auth.AuthCredential type that was used.
        var credential = error.credential;
        // ...
      });
    } else {
      console.log('User already signed-in Firebase.');
    }
  });
}

您还可以在此处发现并处理错误。要获取错误代码列表，请参阅身份验证参考文档。

此外，您应确保该 Google 用户尚未登录 Firebase，以避免不必要的重复身份验证：

function isUserEqual(googleUser, firebaseUser) {
  if (firebaseUser) {
    var providerData = firebaseUser.providerData;
    for (var i = 0; i < providerData.length; i++) {
      if (providerData[i].providerId === firebase.auth.GoogleAuthProvider.PROVIDER_ID &&
          providerData[i].uid === googleUser.getBasicProfile().getId()) {
        // We don't need to reauth the Firebase connection.
        return true;
      }
    }
  }
  return false;
}

高级：在 Node.js 中进行 Firebase 身份验证

要在 Node.js 应用中进行 Firebase 身份验证，请按以下步骤操作：

使用用户的 Google 帐号登录，获取用户的 Google ID 令牌。为此，您可以采取多种方式。例如：
- 如果您的应用具有浏览器前端，请按照手动处理登录流程部分的说明，使用 Google 登录功能。从身份验证响应中获取 Google ID 令牌：
```
var id_token = googleUser.getAuthResponse().id_token
```
  然后将此令牌发送至您的 Node.js 应用。
- 如果运行应用的设备的输入功能有限（例如电视），您可以使用在电视和其他设备上进行 Google 登录流程。

取得用户的 Google ID 令牌之后，使用该令牌构建凭据对象，然后使用该凭据使用户登录应用：


// Build Firebase credential with the Google ID token.
var credential = firebase.auth.GoogleAuthProvider.credential(id_token);

// Sign in with credential from the Google user.
firebase.auth().signInAndRetrieveDataWithCredential(credential).catch(function(error) {
  // Handle Errors here.
  var errorCode = error.code;
  var errorMessage = error.message;
  // The email of the user's account used.
  var email = error.email;
  // The firebase.auth.AuthCredential type that was used.
  var credential = error.credential;
  // ...
});

在 Chrome 扩展程序中进行 Firebase 身份验证

如果您正在构建 Chrome 扩展程序应用，则必须将 Chrome 扩展程序 ID 列入白名单：

在 Firebase 控制台中打开您的项目。
在 Authentication（身份验证）部分中，打开登录方法页面。
向“已获授权的网域”列表添加格式如下的 URI：
```
chrome-extension://CHROME_EXTENSION_ID
```

由于 Chrome 扩展程序无法使用 HTTP 重定向，因此只能使用弹出式操作方式（signInWithPopup 和 linkWithPopup）。您应该从后台脚本而不是浏览器操作弹出窗口中调用这些方法，因为身份验证弹出窗口将取消浏览器操作弹出窗口。

在 Chrome 扩展程序的清单文件中，确保将 https://apis.google.com 网址加入到 content_security_policy 白名单中。

为 Google 登录服务自定义重定向网域

在创建项目时，Firebase 将为您的项目配置一个唯一的子网域：https://my-app-12345.firebaseapp.com

它也将用作 OAuth 登录的重定向机制。该网域需要列入所有受支持的 OAuth 提供方的白名单。但是，这意味着用户在登录 Google 时可能会先看到该网域 (Continue to: https://my-app-12345.firebaseapp.com)，然后才重定向回应用。

要自定义消息中的网址以便显示自定义网域 (Continue to: https://auth.custom.domain.com)，请执行以下操作：

为您的自定义网域创建一条 CNAME 记录，指向 firebaseapp.com 上项目的子网域：
```
auth.custom.domain.com CNAME my-app-12345.firebaseapp.com
```
在 Firebase 控制台中，将您的自定义网域 auth.custom.domain.com 添加至授权网域列表。
在 Google 开发者控制台或 OAuth 设置页面中，将可通过该自定义网域访问的重定向页面的网址 (https://auth.custom.domain.com/__/auth/handler) 加入白名单。

初始化 JavaScript 库时，使用 authDomain 字段指定您的自定义网域：

var config = {
  apiKey: '...',
  // Changed from 'my-app-12345.firebaseapp.com'.
  authDomain: 'auth.custom.domain.com',
  databaseURL: 'https://my-app-12345.firebaseio.com',
  projectId: 'my-app-12345',
  storageBucket: 'my-app-12345.appspot.com',
  messagingSenderId: '1234567890'
};
firebase.initializeApp(config);

后续步骤

在用户首次登录后，系统会创建一个新的用户帐号，并将其与该用户登录时使用的凭据（即用户名、密码、电话号码或者身份验证提供方信息）相关联。此新帐号存储为您的 Firebase 项目的一部分，无论用户采用何种方式登录，您项目中的每个应用都可以使用此帐号来识别用户。

在您的应用中，建议采用在 Auth 对象上设置观察者的方式来了解用户的身份验证状态。然后您可以从 User 对象获取用户的个人资料基本信息。请参阅管理用户。
在您的 Firebase 实时数据库和 Cloud Storage 安全规则中，您可以从 auth 变量获取已登录用户的唯一用户 ID，然后利用此 ID 来控制用户可以访问哪些数据。

您可以允许用户通过多种身份验证提供方服务登录您的应用，只需将多个身份验证提供方凭据关联至现有用户帐号即可。

要让用户退出登录，请调用 signOut：

firebase.auth().signOut().then(function() {
  // Sign-out successful.
}).catch(function(error) {
  // An error happened.
});