Эта страница переведена с помощью Cloud Translation API.

Аутентификация с помощью Microsoft с помощью JavaScript

Вы можете позволить своим пользователям проходить аутентификацию в Firebase с помощью поставщиков OAuth, таких как Microsoft Azure Active Directory, интегрировав общий вход OAuth в свое приложение с помощью Firebase SDK для выполнения сквозного процесса входа.

Прежде чем вы начнете

Для входа пользователей с использованием учетных записей Microsoft (Azure Active Directory и личных учетных записей Microsoft) необходимо сначала включить Microsoft в качестве поставщика входа для вашего проекта Firebase:

Добавьте Firebase в свой проект JavaScript .
В консоли Firebase откройте раздел Auth .
На вкладке Способ входа включите поставщика Microsoft .
Добавьте идентификатор клиента и секрет клиента из консоли разработчика этого провайдера в конфигурацию провайдера:
1. Чтобы зарегистрировать клиент Microsoft OAuth, следуйте инструкциям в разделе Краткое руководство. Зарегистрируйте приложение с помощью конечной точки Azure Active Directory версии 2.0 . Обратите внимание, что эта конечная точка поддерживает вход с использованием личных учетных записей Microsoft, а также учетных записей Azure Active Directory. Узнайте больше об Azure Active Directory версии 2.0.
2. При регистрации приложений у этих поставщиков обязательно зарегистрируйте домен *.firebaseapp.com для своего проекта в качестве домена перенаправления для вашего приложения.
Нажмите Сохранить .

Обработка процесса входа с помощью Firebase SDK

Если вы создаете веб-приложение, самый простой способ аутентификации пользователей в Firebase с использованием их учетных записей Microsoft — это обработка всего процесса входа с помощью Firebase JavaScript SDK.

Чтобы обработать процесс входа с помощью Firebase JavaScript SDK, выполните следующие действия:

Создайте экземпляр OAuthProvider , используя идентификатор поставщика microsoft.com .
Web modular API
Узнайте больше о модульном веб-API с возможностью изменения дерева и обновите API с пространством имен.
```
import { OAuthProvider } from "firebase/auth";

const provider = new OAuthProvider('microsoft.com');auth_msft_create_provider.js
```
Web namespaced API
```
var provider = new firebase.auth.OAuthProvider('microsoft.com');microsoft-oauth.js
```
Необязательно : укажите дополнительные настраиваемые параметры OAuth, которые вы хотите отправить с запросом OAuth.
Web modular API
Узнайте больше о модульном веб-API с возможностью изменения дерева и обновите API с пространством имен.
```
provider.setCustomParameters({
  // Force re-consent.
  prompt: 'consent',
  // Target specific email with login hint.
  login_hint: 'user@firstadd.onmicrosoft.com'
});auth_msft_provider_params.js
```
Web namespaced API
```
provider.setCustomParameters({
  // Force re-consent.
  prompt: 'consent',
  // Target specific email with login hint.
  login_hint: 'user@firstadd.onmicrosoft.com'
});microsoft-oauth.js
```
Информацию о поддерживаемых Microsoft параметрах см. в документации Microsoft OAuth . Обратите внимание, что вы не можете передавать параметры, необходимые для Firebase, с помощью setCustomParameters() . Это параметры client_id , response_type , redirect_uri , state , scope и response_mode .
Чтобы разрешить вход в приложение только пользователям из определенного арендатора Azure AD, можно использовать понятное доменное имя арендатора Azure AD или идентификатор GUID арендатора. Это можно сделать, указав поле «арендатор» в объекте пользовательских параметров.
Web modular API
Узнайте больше о модульном веб-API с возможностью изменения дерева и обновите API с пространством имен.
```
provider.setCustomParameters({
  // Optional "tenant" parameter in case you are using an Azure AD tenant.
  // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
  // or "common" for tenant-independent tokens.
  // The default value is "common".
  tenant: 'TENANT_ID'
});auth_msft_provider_params_tenant.js
```
Web namespaced API
```
provider.setCustomParameters({
  // Optional "tenant" parameter in case you are using an Azure AD tenant.
  // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
  // or "common" for tenant-independent tokens.
  // The default value is "common".
  tenant: 'TENANT_ID'
});microsoft-oauth.js
```
Необязательно : укажите дополнительные области OAuth 2.0 помимо базового профиля, которые вы хотите запросить у поставщика проверки подлинности.
```
provider.addScope('mail.read');
provider.addScope('calendars.read');
```
Дополнительные сведения см. в документации по разрешениям и согласию Microsoft .
Выполните аутентификацию в Firebase, используя объект поставщика OAuth. Вы можете предложить своим пользователям войти в систему с помощью своих учетных записей Microsoft, открыв всплывающее окно или перенаправив их на страницу входа. Метод перенаправления предпочтительнее на мобильных устройствах.
- Чтобы войти с помощью всплывающего окна, вызовите signInWithPopup :
Web modular API
Узнайте больше о модульном веб-API с возможностью изменения дерева и обновите API с пространством имен.
```
import { getAuth, signInWithPopup, OAuthProvider } from "firebase/auth";

const auth = getAuth();
signInWithPopup(auth, provider)
  .then((result) => {
    // User is signed in.
    // IdP data available in result.additionalUserInfo.profile.

    // Get the OAuth access token and ID Token
    const credential = OAuthProvider.credentialFromResult(result);
    const accessToken = credential.accessToken;
    const idToken = credential.idToken;
  })
  .catch((error) => {
    // Handle error.
  });auth_msft_signin_popup.js
```
Web namespaced API
```
firebase.auth().signInWithPopup(provider)
  .then((result) => {
    // IdP data available in result.additionalUserInfo.profile.
    // ...

    /** @type {firebase.auth.OAuthCredential} */
    var credential = result.credential;

    // OAuth access and id tokens can also be retrieved:
    var accessToken = credential.accessToken;
    var idToken = credential.idToken;
  })
  .catch((error) => {
    // Handle error.
  });microsoft-oauth.js
```
- Чтобы войти, перенаправив на страницу входа, вызовите signInWithRedirect :
Следуйте рекомендациям при использовании signInWithRedirect , linkWithRedirect или reauthenticateWithRedirect .
Web modular API
Узнайте больше о модульном веб-API с возможностью изменения дерева и обновите API с пространством имен.
```
import { getAuth, signInWithRedirect } from "firebase/auth";

const auth = getAuth();
signInWithRedirect(auth, provider);auth_msft_signin_redirect.js
```
Web namespaced API
```
firebase.auth().signInWithRedirect(provider);microsoft-oauth.js
```
После того, как пользователь завершит вход и вернется на страницу, вы можете получить результат входа, вызвав getRedirectResult .
Web modular API
Узнайте больше о модульном веб-API с возможностью изменения дерева и обновите API с пространством имен.
```
import { getAuth, getRedirectResult, OAuthProvider } from "firebase/auth";

const auth = getAuth();
getRedirectResult(auth)
  .then((result) => {
    // User is signed in.
    // IdP data available in result.additionalUserInfo.profile.

    // Get the OAuth access token and ID Token
    const credential = OAuthProvider.credentialFromResult(result);
    const accessToken = credential.accessToken;
    const idToken = credential.idToken;
  })
  .catch((error) => {
    // Handle error.
  });auth_msft_signin_redirect_result.js
```
Web namespaced API
```
firebase.auth().getRedirectResult()
  .then((result) => {
    // IdP data available in result.additionalUserInfo.profile.
    // ...

    /** @type {firebase.auth.OAuthCredential} */
    var credential = result.credential;

    // OAuth access and id tokens can also be retrieved:
    var accessToken = credential.accessToken;
    var idToken = credential.idToken;
  })
  .catch((error) => {
    // Handle error.
  });microsoft-oauth.js
```
После успешного завершения маркер доступа OAuth, связанный с провайдером, может быть получен из возвращенного объекта firebase.auth.UserCredential .
Используя токен доступа OAuth, вы можете вызывать API Microsoft Graph .
Например, чтобы получить базовую информацию о профиле, можно вызвать следующий REST API:
```
curl -i -H "Authorization: Bearer ACCESS_TOKEN" https://graph.microsoft.com/v1.0/me
```
В отличие от других поставщиков, поддерживаемых Firebase Auth, Microsoft не предоставляет URL-адрес фотографии, и вместо этого двоичные данные для фотографии профиля необходимо запрашивать через Microsoft Graph API .
В дополнение к токену доступа OAuth из объекта firebase.auth.UserCredential можно также получить токен идентификатора OAuth пользователя. sub утверждение в токене идентификатора зависит от приложения и не будет соответствовать федеративному идентификатору пользователя, используемому Firebase Auth и доступному через user.providerData[0].uid . Вместо этого следует использовать поле утверждения oid . При использовании клиента Azure AD для входа утверждение oid будет точно соответствовать. Однако в случае отсутствия арендатора поле oid дополняется. Для федеративного идентификатора 4b2eabcdefghijkl oid будет иметь вид 00000000-0000-0000-4b2e-abcdefghijkl .

Хотя в приведенных выше примерах основное внимание уделяется потокам входа, у вас также есть возможность связать поставщика Microsoft с существующим пользователем с помощью linkWithPopup / linkWithRedirect . Например, вы можете связать нескольких провайдеров с одним и тем же пользователем, позволяя им входить в систему с помощью любого из них.

Web modular API

import { getAuth, linkWithPopup, OAuthProvider } from "firebase/auth";

const provider = new OAuthProvider('microsoft.com');
const auth = getAuth();

linkWithPopup(auth.currentUser, provider)
    .then((result) => {
      // Microsoft credential is linked to the current user.
      // IdP data available in result.additionalUserInfo.profile.

      // Get the OAuth access token and ID Token
      const credential = OAuthProvider.credentialFromResult(result);
      const accessToken = credential.accessToken;
      const idToken = credential.idToken;
    })
    .catch((error) => {
      // Handle error.
    });auth_msft_link_popup.js

Web namespaced API

var provider = new firebase.auth.OAuthProvider('microsoft.com');
firebase.auth().currentUser.linkWithPopup(provider)
    .then((result) => {
      // Microsoft credential is linked to the current user.
      // IdP data available in result.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // result.credential.accessToken
      // OAuth ID token can also be retrieved:
      // result.credential.idToken
    })
    .catch((error) => {
      // Handle error.
    });microsoft-oauth.js

Тот же шаблон можно использовать с reauthenticateWithPopup / reauthenticateWithRedirect , которые можно использовать для получения новых учетных данных для конфиденциальных операций, требующих недавнего входа в систему.

Web modular API

import { getAuth, reauthenticateWithPopup, OAuthProvider } from "firebase/auth";

const provider = new OAuthProvider('microsoft.com');
const auth = getAuth();
reauthenticateWithPopup(auth.currentUser, provider)
    .then((result) => {
      // User is re-authenticated with fresh tokens minted and
      // should be able to perform sensitive operations like account
      // deletion and email or password update.
      // IdP data available in result.additionalUserInfo.profile.

      // Get the OAuth access token and ID Token
      const credential = OAuthProvider.credentialFromResult(result);
      const accessToken = credential.accessToken;
      const idToken = credential.idToken;
    })
    .catch((error) => {
      // Handle error.
    });auth_msft_reauth_popup.js

Web namespaced API

var provider = new firebase.auth.OAuthProvider('microsoft.com');
firebase.auth().currentUser.reauthenticateWithPopup(provider)
    .then((result) => {
      // User is re-authenticated with fresh tokens minted and
      // should be able to perform sensitive operations like account
      // deletion and email or password update.
      // IdP data available in result.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // result.credential.accessToken
      // OAuth ID token can also be retrieved:
      // result.credential.idToken
    })
    .catch((error) => {
      // Handle error.
    });microsoft-oauth.js

Обработка ошибок существования учетной записи с разными учетными данными

Если вы включили параметр Одна учетная запись для каждого адреса электронной почты в консоли Firebase , когда пользователь пытается войти в систему поставщика (например, Microsoft) с адресом электронной почты, который уже существует для поставщика другого пользователя Firebase (например, Google), ошибка auth/account-exists-with-different-credential создается вместе с объектом AuthCredential (учетные данные Microsoft). Чтобы завершить вход в предполагаемого поставщика, пользователь должен сначала войти в существующего поставщика (Google), а затем связать с прежним AuthCredential (учетные данные Microsoft).

Если вы используете signInWithPopup , вы можете обрабатывать ошибки auth/account-exists-with-different-credential с помощью кода, подобного следующему примеру:


// Step 1.
// User tries to sign in to Microsoft.
auth.signInWithPopup(new firebase.auth.OAuthProvider('microsoft.com')).catch(function(error) {
  // An error happened.
  if (error.code === 'auth/account-exists-with-different-credential') {
    // Step 2.
    // User's email already exists.
    // The pending Microsoft credential.
    var pendingCred = error.credential;
    // The provider account's email address.
    var email = error.email;
    // Get sign-in methods for this email.
    auth.fetchSignInMethodsForEmail(email).then(function(methods) {
      // Step 3.
      // If the user has several sign-in methods,
      // the first method in the list will be the "recommended" method to use.
      if (methods[0] === 'password') {
        // Asks the user their password.
        // In real scenario, you should handle this asynchronously.
        var password = promptUserForPassword(); // TODO: implement promptUserForPassword.
        auth.signInWithEmailAndPassword(email, password).then(function(result) {
          // Step 4a.
          return result.user.linkWithCredential(pendingCred);
        }).then(function() {
          // Microsoft account successfully linked to the existing Firebase user.
          goToApp();
        });
        return;
      }
      // All the other cases are external providers.
      // Construct provider object for that provider.
      // TODO: implement getProviderForProviderId.
      var provider = getProviderForProviderId(methods[0]);
      // At this point, you should let the user know that they already have an account
      // but with a different provider, and let them validate the fact they want to
      // sign in with this provider.
      // Sign in to provider. Note: browsers usually block popup triggered asynchronously,
      // so in real scenario you should ask the user to click on a "continue" button
      // that will trigger the signInWithPopup.
      auth.signInWithPopup(provider).then(function(result) {
        // Remember that the user may have signed in with an account that has a different email
        // address than the first one. This can happen as Firebase doesn't control the provider's
        // sign in flow and the user is free to login using whichever account they own.
        // Step 4b.
        // Link to Microsoft credential.
        // As we have access to the pending credential, we can directly call the link method.
        result.user.linkAndRetrieveDataWithCredential(pendingCred).then(function(usercred) {
          // Microsoft account successfully linked to the existing Firebase user.
          goToApp();
        });
      });
    });
  }
});

Режим перенаправления

Эта ошибка обрабатывается аналогичным образом в режиме перенаправления, с той разницей, что ожидающие учетные данные должны кэшироваться между перенаправлениями страниц (например, с использованием хранилища сеансов).

В отличие от других провайдеров OAuth, поддерживаемых Firebase, таких как Google, Facebook и Twitter, где вход может быть осуществлен напрямую с помощью учетных данных на основе маркера доступа OAuth, Firebase Auth не поддерживает ту же возможность для провайдеров, таких как Microsoft, из-за невозможности Сервер аутентификации Firebase для проверки аудитории токенов доступа Microsoft OAuth. Это критическое требование безопасности, которое может подвергнуть приложения и веб-сайты повторным атакам, когда токен доступа Microsoft OAuth, полученный для одного проекта (злоумышленник), может использоваться для входа в другой проект (жертва). Вместо этого Firebase Auth предлагает возможность обработки всего потока OAuth и обмена кодами авторизации с использованием идентификатора клиента OAuth и секрета, настроенных в консоли Firebase. Поскольку код авторизации можно использовать только в сочетании с определенным идентификатором/секретом клиента, код авторизации, полученный для одного проекта, нельзя использовать в другом.

Если эти провайдеры должны использоваться в неподдерживаемых средах, необходимо использовать стороннюю библиотеку OAuth и пользовательскую аутентификацию Firebase . Первый необходим для аутентификации у провайдера, а второй — для обмена учетных данных провайдера на пользовательский токен.

Аутентификация с помощью Firebase в расширении Chrome

Если вы создаете приложение-расширение Chrome, вы должны добавить свой идентификатор расширения Chrome:

Откройте свой проект в консоли Firebase .
В разделе «Аутентификация» откройте страницу «Метод входа» .
Добавьте в список авторизованных доменов URI, подобный следующему:
```
chrome-extension://CHROME_EXTENSION_ID
```

Для расширений Chrome доступны только всплывающие операции ( signInWithPopup , linkWithPopup и reauthenticateWithPopup ), поскольку расширения Chrome не могут использовать перенаправления HTTP. Вы должны вызывать эти методы из сценария фоновой страницы, а не из всплывающего окна действия браузера, так как всплывающее окно проверки подлинности отменит всплывающее окно действия браузера. Методы всплывающих окон можно использовать только в расширениях, использующих Manifest V2 . В новом Manifest V3 разрешены только фоновые сценарии в виде сервис-воркеров, которые вообще не могут выполнять всплывающие окна.

Убедитесь, что в файле манифеста вашего расширения Chrome вы добавили URL-адрес https://apis.google.com в белый список content_security_policy .

При создании проекта Firebase предоставит уникальный субдомен для вашего проекта: https://my-app-12345.firebaseapp.com .

Это также будет использоваться в качестве механизма перенаправления для входа OAuth. Этот домен должен быть разрешен для всех поддерживаемых поставщиков OAuth. Однако это означает, что пользователи могут видеть этот домен при входе в Microsoft перед перенаправлением обратно в приложение: Продолжить: https://my-app-12345.firebaseapp.com .

Чтобы ваш поддомен не отображался, вы можете настроить собственный домен с помощью Firebase Hosting:

Выполните шаги с 1 по 3 в разделе Настройка домена для хостинга . Когда вы подтверждаете право собственности на домен, Hosting предоставляет SSL-сертификат для вашего личного домена.
Добавьте свой личный домен в список авторизованных доменов в консоли Firebase : auth.custom.domain.com .
В консоли разработчика Microsoft или на странице настройки OAuth внесите в белый список URL-адрес страницы перенаправления, которая будет доступна в вашем личном домене: https://auth.custom.domain.com/__/auth/handler .

При инициализации библиотеки JavaScript укажите свой личный домен в поле authDomain :

var config = {
  apiKey: '...',
  // Changed from 'my-app-12345.firebaseapp.com'.
  authDomain: 'auth.custom.domain.com',
  databaseURL: 'https://my-app-12345.firebaseio.com',
  projectId: 'my-app-12345',
  storageBucket: 'my-app-12345.appspot.com',
  messagingSenderId: '1234567890'
};
firebase.initializeApp(config);

Следующие шаги

После того, как пользователь входит в систему в первый раз, создается новая учетная запись пользователя и связывается с учетными данными, т. е. с именем пользователя и паролем, номером телефона или информацией о поставщике проверки подлинности, с которыми пользователь вошел в систему. Эта новая учетная запись хранится как часть вашего проекта Firebase и может использоваться для идентификации пользователя во всех приложениях вашего проекта, независимо от того, как пользователь входит в систему.

В ваших приложениях рекомендуемым способом узнать статус аутентификации вашего пользователя является установка наблюдателя на объект Auth . Затем вы можете получить основную информацию о профиле пользователя из объекта User . См. Управление пользователями .
В правилах безопасности базы данных Firebase Realtime и облачного хранилища вы можете получить уникальный идентификатор пользователя, вошедшего в систему, из переменной auth и использовать его для управления тем, к каким данным пользователь может получить доступ.

Вы можете разрешить пользователям входить в ваше приложение с помощью нескольких поставщиков проверки подлинности, связав учетные данные поставщика проверки подлинности с существующей учетной записью пользователя.

Чтобы выйти из системы, вызовите signOut :

Web modular API

import { getAuth, signOut } from "firebase/auth";

const auth = getAuth();
signOut(auth).then(() => {
  // Sign-out successful.
}).catch((error) => {
  // An error happened.
});auth_sign_out.js

Web namespaced API

firebase.auth().signOut().then(() => {
  // Sign-out successful.
}).catch((error) => {
  // An error happened.
});index.js

Аутентификация с помощью Microsoft с помощью JavaScript

Прежде чем вы начнете

Обработка процесса входа с помощью Firebase SDK

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Обработка ошибок существования учетной записи с разными учетными данными

Всплывающий режим

Режим перенаправления

Дополнительно: обработка процесса входа вручную

Аутентификация с помощью Firebase в расширении Chrome

Настройка домена перенаправления для входа в Microsoft

Следующие шаги

Web modular API

Web namespaced API