Ta strona została przetłumaczona przez Cloud Translation API.

Uwierzytelnij przy użyciu Microsoft z JavaScript, Uwierzytelnij przy użyciu Microsoft z JavaScript

Możesz pozwolić użytkownikom na uwierzytelnianie w Firebase przy użyciu dostawców OAuth, takich jak Microsoft Azure Active Directory, integrując ogólne logowanie OAuth ze swoją aplikacją przy użyciu zestawu SDK Firebase w celu przeprowadzenia kompleksowego procesu logowania.

Zanim zaczniesz

Aby logować użytkowników przy użyciu kont Microsoft (Azure Active Directory i osobistych kont Microsoft), musisz najpierw włączyć firmę Microsoft jako dostawcę logowania dla swojego projektu Firebase:

Dodaj Firebase do swojego projektu JavaScript .
W konsoli Firebase otwórz sekcję Uwierzytelnianie .
Na karcie Metoda logowania włącz dostawcę Microsoft .
Dodaj identyfikator klienta i klucz tajny klienta z konsoli programisty tego dostawcy do konfiguracji dostawcy:
1. Aby zarejestrować klienta Microsoft OAuth, postępuj zgodnie z instrukcjami w przewodniku Szybki Start: Rejestrowanie aplikacji w punkcie końcowym Azure Active Directory v2.0 . Należy pamiętać, że ten punkt końcowy obsługuje logowanie przy użyciu kont osobistych Microsoft oraz kont Azure Active Directory. Dowiedz się więcej o Azure Active Directory w wersji 2.0.
2. Rejestrując aplikacje u tych dostawców, pamiętaj o zarejestrowaniu domeny *.firebaseapp.com dla swojego projektu jako domeny przekierowującej dla Twojej aplikacji.
Kliknij Zapisz .

Obsługuj proces logowania za pomocą pakietu SDK Firebase

Jeśli tworzysz aplikację internetową, najłatwiejszym sposobem uwierzytelnienia użytkowników w Firebase przy użyciu ich kont Microsoft jest obsługa całego procesu logowania za pomocą pakietu SDK JavaScript Firebase.

Aby obsłużyć proces logowania za pomocą pakietu SDK JavaScript Firebase, wykonaj następujące kroki:

Utwórz instancję OAuthProvider przy użyciu identyfikatora dostawcy microsoft.com .
Web modular API
Dowiedz się więcej o modułowym interfejsie API sieci Web z możliwością zmiany drzewa i uaktualnij interfejs API z przestrzenią nazw.
```
import { OAuthProvider } from "firebase/auth";

const provider = new OAuthProvider('microsoft.com');auth_msft_create_provider.js
```
Web namespaced API
```
var provider = new firebase.auth.OAuthProvider('microsoft.com');microsoft-oauth.js
```
Opcjonalnie : określ dodatkowe niestandardowe parametry OAuth, które chcesz wysłać z żądaniem OAuth.
Web modular API
Dowiedz się więcej o modułowym interfejsie API sieci Web z możliwością zmiany drzewa i uaktualnij interfejs API z przestrzenią nazw.
```
provider.setCustomParameters({
  // Force re-consent.
  prompt: 'consent',
  // Target specific email with login hint.
  login_hint: 'user@firstadd.onmicrosoft.com'
});auth_msft_provider_params.js
```
Web namespaced API
```
provider.setCustomParameters({
  // Force re-consent.
  prompt: 'consent',
  // Target specific email with login hint.
  login_hint: 'user@firstadd.onmicrosoft.com'
});microsoft-oauth.js
```
Informacje na temat parametrów obsługiwanych przez firmę Microsoft można znaleźć w dokumentacji Microsoft OAuth . Pamiętaj, że nie możesz przekazywać parametrów wymaganych przez Firebase za pomocą setCustomParameters() . Te parametry to id_klienta , typ_odpowiedzi , redirect_uri , stan , zakres i tryb_odpowiedzi .
Aby zezwolić tylko użytkownikom z określonej dzierżawy usługi Azure AD na logowanie się do aplikacji, można użyć przyjaznej nazwy domeny dzierżawy usługi Azure AD lub identyfikatora GUID dzierżawy. Można tego dokonać poprzez określenie pola „najemca” w obiekcie parametrów niestandardowych.
Web modular API
Dowiedz się więcej o modułowym interfejsie API sieci Web z możliwością zmiany drzewa i uaktualnij interfejs API z przestrzenią nazw.
```
provider.setCustomParameters({
  // Optional "tenant" parameter in case you are using an Azure AD tenant.
  // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
  // or "common" for tenant-independent tokens.
  // The default value is "common".
  tenant: 'TENANT_ID'
});auth_msft_provider_params_tenant.js
```
Web namespaced API
```
provider.setCustomParameters({
  // Optional "tenant" parameter in case you are using an Azure AD tenant.
  // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
  // or "common" for tenant-independent tokens.
  // The default value is "common".
  tenant: 'TENANT_ID'
});microsoft-oauth.js
```
Opcjonalnie : określ dodatkowe zakresy protokołu OAuth 2.0 poza profilem podstawowym, o które chcesz poprosić dostawcę uwierzytelniania.
```
provider.addScope('mail.read');
provider.addScope('calendars.read');
```
Aby dowiedzieć się więcej, zapoznaj się z dokumentacją dotyczącą uprawnień i zgód firmy Microsoft .
Uwierzytelnij się w Firebase przy użyciu obiektu dostawcy OAuth. Możesz poprosić użytkowników o zalogowanie się na swoje konta Microsoft, otwierając wyskakujące okienko lub przekierowując do strony logowania. Na urządzeniach mobilnych preferowana jest metoda przekierowania.
- Aby zalogować się za pomocą wyskakującego okna, wywołaj signInWithPopup :
Web modular API
Dowiedz się więcej o modułowym interfejsie API sieci Web z możliwością zmiany drzewa i uaktualnij interfejs API z przestrzenią nazw.
```
import { getAuth, signInWithPopup, OAuthProvider } from "firebase/auth";

const auth = getAuth();
signInWithPopup(auth, provider)
  .then((result) => {
    // User is signed in.
    // IdP data available in result.additionalUserInfo.profile.

    // Get the OAuth access token and ID Token
    const credential = OAuthProvider.credentialFromResult(result);
    const accessToken = credential.accessToken;
    const idToken = credential.idToken;
  })
  .catch((error) => {
    // Handle error.
  });auth_msft_signin_popup.js
```
Web namespaced API
```
firebase.auth().signInWithPopup(provider)
  .then((result) => {
    // IdP data available in result.additionalUserInfo.profile.
    // ...

    /** @type {firebase.auth.OAuthCredential} */
    var credential = result.credential;

    // OAuth access and id tokens can also be retrieved:
    var accessToken = credential.accessToken;
    var idToken = credential.idToken;
  })
  .catch((error) => {
    // Handle error.
  });microsoft-oauth.js
```
- Aby zalogować się poprzez przekierowanie na stronę logowania, wywołaj signInWithRedirect :
Postępuj zgodnie z najlepszymi praktykami podczas korzystania z signInWithRedirect , linkWithRedirect lub reauthenticateWithRedirect .
Web modular API
Dowiedz się więcej o modułowym interfejsie API sieci Web z możliwością zmiany drzewa i uaktualnij interfejs API z przestrzenią nazw.
```
import { getAuth, signInWithRedirect } from "firebase/auth";

const auth = getAuth();
signInWithRedirect(auth, provider);auth_msft_signin_redirect.js
```
Web namespaced API
```
firebase.auth().signInWithRedirect(provider);microsoft-oauth.js
```
Gdy użytkownik zakończy logowanie i wróci na stronę, wynik logowania można uzyskać, wywołując metodę getRedirectResult .
Web modular API
Dowiedz się więcej o modułowym interfejsie API sieci Web z możliwością zmiany drzewa i uaktualnij interfejs API z przestrzenią nazw.
```
import { getAuth, getRedirectResult, OAuthProvider } from "firebase/auth";

const auth = getAuth();
getRedirectResult(auth)
  .then((result) => {
    // User is signed in.
    // IdP data available in result.additionalUserInfo.profile.

    // Get the OAuth access token and ID Token
    const credential = OAuthProvider.credentialFromResult(result);
    const accessToken = credential.accessToken;
    const idToken = credential.idToken;
  })
  .catch((error) => {
    // Handle error.
  });auth_msft_signin_redirect_result.js
```
Web namespaced API
```
firebase.auth().getRedirectResult()
  .then((result) => {
    // IdP data available in result.additionalUserInfo.profile.
    // ...

    /** @type {firebase.auth.OAuthCredential} */
    var credential = result.credential;

    // OAuth access and id tokens can also be retrieved:
    var accessToken = credential.accessToken;
    var idToken = credential.idToken;
  })
  .catch((error) => {
    // Handle error.
  });microsoft-oauth.js
```
Po pomyślnym zakończeniu token dostępu OAuth powiązany z dostawcą może zostać pobrany ze zwróconego obiektu firebase.auth.UserCredential .
Korzystając z tokena dostępu OAuth, możesz wywołać interfejs API Microsoft Graph .
Na przykład, aby uzyskać podstawowe informacje o profilu, można wywołać następujący interfejs API REST:
```
curl -i -H "Authorization: Bearer ACCESS_TOKEN" https://graph.microsoft.com/v1.0/me
```
W przeciwieństwie do innych dostawców obsługiwanych przez Firebase Auth, firma Microsoft nie podaje adresu URL zdjęcia, zamiast tego należy poprosić o dane binarne zdjęcia profilowego za pośrednictwem interfejsu API Microsoft Graph .
Oprócz tokena dostępu OAuth, z obiektu firebase.auth.UserCredential można również pobrać token identyfikatora OAuth użytkownika. Żądanie sub w tokenie identyfikatora jest specyficzne dla aplikacji i nie będzie zgodne ze stowarzyszonym identyfikatorem użytkownika używanym przez Firebase Auth i dostępnym za pośrednictwem user.providerData[0].uid . Zamiast tego należy użyć pola roszczenia oid . W przypadku logowania się przy użyciu dzierżawy usługi Azure AD żądanie oid będzie dokładne. Jednakże w przypadku niebędącym dzierżawcą pole oid jest dopełniane. W przypadku identyfikatora federacyjnego 4b2eabcdefghijkl oid będzie miał postać 00000000-0000-0000-4b2e-abcdefghijkl .

Chociaż powyższe przykłady skupiają się na przepływach logowania, istnieje również możliwość połączenia dostawcy Microsoft z istniejącym użytkownikiem za pomocą linkWithPopup / linkWithRedirect . Na przykład możesz powiązać wielu dostawców z tym samym użytkownikiem, umożliwiając im logowanie się za pomocą dowolnego z nich.

Web modular API

import { getAuth, linkWithPopup, OAuthProvider } from "firebase/auth";

const provider = new OAuthProvider('microsoft.com');
const auth = getAuth();

linkWithPopup(auth.currentUser, provider)
    .then((result) => {
      // Microsoft credential is linked to the current user.
      // IdP data available in result.additionalUserInfo.profile.

      // Get the OAuth access token and ID Token
      const credential = OAuthProvider.credentialFromResult(result);
      const accessToken = credential.accessToken;
      const idToken = credential.idToken;
    })
    .catch((error) => {
      // Handle error.
    });auth_msft_link_popup.js

Web namespaced API

var provider = new firebase.auth.OAuthProvider('microsoft.com');
firebase.auth().currentUser.linkWithPopup(provider)
    .then((result) => {
      // Microsoft credential is linked to the current user.
      // IdP data available in result.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // result.credential.accessToken
      // OAuth ID token can also be retrieved:
      // result.credential.idToken
    })
    .catch((error) => {
      // Handle error.
    });microsoft-oauth.js

Tego samego wzorca można użyć z reauthenticateWithPopup / reauthenticateWithRedirect , którego można użyć do pobrania nowych poświadczeń dla wrażliwych operacji wymagających niedawnego logowania.

Web modular API

import { getAuth, reauthenticateWithPopup, OAuthProvider } from "firebase/auth";

const provider = new OAuthProvider('microsoft.com');
const auth = getAuth();
reauthenticateWithPopup(auth.currentUser, provider)
    .then((result) => {
      // User is re-authenticated with fresh tokens minted and
      // should be able to perform sensitive operations like account
      // deletion and email or password update.
      // IdP data available in result.additionalUserInfo.profile.

      // Get the OAuth access token and ID Token
      const credential = OAuthProvider.credentialFromResult(result);
      const accessToken = credential.accessToken;
      const idToken = credential.idToken;
    })
    .catch((error) => {
      // Handle error.
    });auth_msft_reauth_popup.js

Web namespaced API

var provider = new firebase.auth.OAuthProvider('microsoft.com');
firebase.auth().currentUser.reauthenticateWithPopup(provider)
    .then((result) => {
      // User is re-authenticated with fresh tokens minted and
      // should be able to perform sensitive operations like account
      // deletion and email or password update.
      // IdP data available in result.additionalUserInfo.profile.
      // OAuth access token can also be retrieved:
      // result.credential.accessToken
      // OAuth ID token can also be retrieved:
      // result.credential.idToken
    })
    .catch((error) => {
      // Handle error.
    });microsoft-oauth.js

Obsługa błędów związanych z kontem-istniejącym-z różnymi-poświadczeniami

Jeśli w konsoli Firebase włączyłeś ustawienie Jedno konto na adres e-mail , gdy użytkownik próbuje zalogować się do dostawcy (takiego jak Microsoft) za pomocą adresu e-mail, który już istnieje dla innego dostawcy użytkownika Firebase (takiego jak Google), pojawi się błąd auth/account-exists-with-different-credential jest zgłaszane wraz z obiektem AuthCredential (poświadczenia Microsoft). Aby dokończyć logowanie do wybranego dostawcy, użytkownik musi najpierw zalogować się do istniejącego dostawcy (Google), a następnie połączyć się z poprzednim uwierzytelnieniem AuthCredential (poświadczeniem Microsoft).

Jeśli używasz signInWithPopup , możesz obsłużyć błędy auth/account-exists-with-different-credential za pomocą kodu podobnego do poniższego przykładu:

import {
  getAuth,
  linkWithCredential,
  signInWithPopup,
  OAuthProvider,
} from "firebase/auth";

try {
  // Step 1: User tries to sign in using Microsoft.
  let result = await signInWithPopup(getAuth(), new OAuthProvider());
} catch (error) {
  // Step 2: User's email already exists.
  if (error.code === "auth/account-exists-with-different-credential") {
    // The pending Microsoft credential.
    let pendingCred = error.credential;

    // Step 3: Save the pending credential in temporary storage,

    // Step 4: Let the user know that they already have an account
    // but with a different provider, and let them choose another
    // sign-in method.
  }
}

// ...

try {
  // Step 5: Sign the user in using their chosen method.
  let result = await signInWithPopup(getAuth(), userSelectedProvider);

  // Step 6: Link to the Microsoft credential.
  // TODO: implement `retrievePendingCred` for your app.
  let pendingCred = retrievePendingCred();

  if (pendingCred !== null) {
    // As you have access to the pending credential, you can directly call the
    // link method.
    let user = await linkWithCredential(result.user, pendingCred);
  }

  // Step 7: Continue to app.
} catch (error) {
  // ...
}

Tryb przekierowania

Ten błąd jest obsługiwany w podobny sposób w trybie przekierowania, z tą różnicą, że oczekujące dane uwierzytelniające muszą być buforowane pomiędzy przekierowaniami stron (na przykład przy użyciu magazynu sesji).

W przeciwieństwie do innych dostawców OAuth obsługiwanych przez Firebase, takich jak Google, Facebook i Twitter, gdzie logowanie można uzyskać bezpośrednio za pomocą poświadczeń opartych na tokenie dostępu OAuth, Firebase Auth nie obsługuje tych samych możliwości w przypadku dostawców takich jak Microsoft ze względu na niemożność Serwer Firebase Auth w celu weryfikacji odbiorców tokenów dostępu Microsoft OAuth. Jest to krytyczny wymóg bezpieczeństwa i może narazić aplikacje i witryny internetowe na powtarzające się ataki, podczas których token dostępu Microsoft OAuth uzyskany dla jednego projektu (osoba atakująca) może zostać wykorzystany do zalogowania się do innego projektu (ofiara). Zamiast tego Firebase Auth oferuje możliwość obsługi całego przepływu OAuth i wymiany kodów autoryzacyjnych przy użyciu identyfikatora klienta OAuth i sekretu skonfigurowanego w konsoli Firebase. Ponieważ kod autoryzacyjny może być używany wyłącznie w połączeniu z określonym identyfikatorem klienta/tajemnicą, kod autoryzacyjny uzyskany dla jednego projektu nie może być używany z innym.

Jeśli ci dostawcy muszą być używani w nieobsługiwanych środowiskach, konieczne będzie użycie zewnętrznej biblioteki OAuth i niestandardowego uwierzytelniania Firebase . Ten pierwszy jest potrzebny do uwierzytelnienia u dostawcy, a drugi do wymiany danych uwierzytelniających dostawcy na niestandardowy token.

Uwierzytelnij się w Firebase w rozszerzeniu Chrome

Jeśli tworzysz aplikację rozszerzenia Chrome, musisz dodać identyfikator rozszerzenia Chrome:

Otwórz swój projekt w konsoli Firebase .
W sekcji Uwierzytelnianie otwórz stronę Metoda logowania .
Dodaj identyfikator URI podobny do poniższego do listy autoryzowanych domen:
```
chrome-extension://CHROME_EXTENSION_ID
```

Tylko operacje na wyskakujących okienkach ( signInWithPopup , linkWithPopup i reauthenticateWithPopup ) są dostępne dla rozszerzeń Chrome, ponieważ rozszerzenia Chrome nie mogą korzystać z przekierowań HTTP. Powinieneś wywoływać te metody ze skryptu strony w tle, a nie z wyskakującego okienka akcji przeglądarki, ponieważ wyskakujące okienko uwierzytelniające anuluje wyskakujące okienko akcji przeglądarki. Metody wyskakujące mogą być używane tylko w rozszerzeniach korzystających z Manifest V2 . Nowszy Manifest V3 pozwala tylko na skrypty działające w tle w postaci pracowników usług, którzy w ogóle nie mogą wykonywać operacji w wyskakujących okienkach.

Upewnij się, że w pliku manifestu rozszerzenia Chrome dodałeś adres URL https://apis.google.com do listy dozwolonych content_security_policy .

Podczas tworzenia projektu Firebase udostępni dla Twojego projektu unikalną subdomenę: https://my-app-12345.firebaseapp.com .

Będzie to również używane jako mechanizm przekierowania podczas logowania OAuth. Ta domena będzie musiała być dozwolona dla wszystkich obsługiwanych dostawców OAuth. Oznacza to jednak, że użytkownicy mogą zobaczyć tę domenę podczas logowania się do firmy Microsoft przed przekierowaniem z powrotem do aplikacji: Przejdź do: https://my-app-12345.firebaseapp.com .

Aby uniknąć wyświetlania swojej subdomeny, możesz skonfigurować domenę niestandardową w Firebase Hosting:

Wykonaj kroki od 1 do 3 w sekcji Konfigurowanie domeny do hostingu . Kiedy zweryfikujesz własność domeny, Hosting wystawi certyfikat SSL dla Twojej domeny niestandardowej.
Dodaj swoją domenę niestandardową do listy autoryzowanych domen w konsoli Firebase : auth.custom.domain.com .
W konsoli programisty Microsoft lub na stronie konfiguracji OAuth dodaj do białej listy adres URL strony przekierowania, która będzie dostępna w Twojej domenie niestandardowej: https://auth.custom.domain.com/__/auth/handler .

Podczas inicjowania biblioteki JavaScript określ swoją domenę niestandardową za pomocą pola authDomain :

var config = {
  apiKey: '...',
  // Changed from 'my-app-12345.firebaseapp.com'.
  authDomain: 'auth.custom.domain.com',
  databaseURL: 'https://my-app-12345.firebaseio.com',
  projectId: 'my-app-12345',
  storageBucket: 'my-app-12345.appspot.com',
  messagingSenderId: '1234567890'
};
firebase.initializeApp(config);

Następne kroki

Gdy użytkownik zaloguje się po raz pierwszy, zostanie utworzone nowe konto użytkownika i powiązane z poświadczeniami — czyli nazwą użytkownika i hasłem, numerem telefonu lub informacjami o dostawcy uwierzytelniania — za pomocą których użytkownik się zalogował. To nowe konto jest przechowywane jako część Twojego projektu Firebase i może służyć do identyfikowania użytkownika w każdej aplikacji w Twoim projekcie, niezależnie od tego, w jaki sposób użytkownik się loguje.

W aplikacjach zalecanym sposobem sprawdzenia stanu uwierzytelnienia użytkownika jest ustawienie obserwatora w obiekcie Auth . Następnie można uzyskać podstawowe informacje o profilu użytkownika z obiektu User . Zobacz Zarządzanie użytkownikami .
W regułach bezpieczeństwa bazy danych Firebase Realtime i Cloud Storage możesz uzyskać unikalny identyfikator zalogowanego użytkownika ze zmiennej auth i użyć go do kontrolowania, do jakich danych użytkownik może uzyskać dostęp.

Możesz zezwolić użytkownikom na logowanie się do aplikacji przy użyciu wielu dostawców uwierzytelniania, łącząc poświadczenia dostawcy uwierzytelniania z istniejącym kontem użytkownika.

Aby wylogować użytkownika, wywołaj funkcję signOut :

Web modular API

import { getAuth, signOut } from "firebase/auth";

const auth = getAuth();
signOut(auth).then(() => {
  // Sign-out successful.
}).catch((error) => {
  // An error happened.
});auth_sign_out.js

Web namespaced API

firebase.auth().signOut().then(() => {
  // Sign-out successful.
}).catch((error) => {
  // An error happened.
});index.js

Uwierzytelnij przy użyciu Microsoft z JavaScript, Uwierzytelnij przy użyciu Microsoft z JavaScript

Zanim zaczniesz

Obsługuj proces logowania za pomocą pakietu SDK Firebase

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Web modular API

Web namespaced API

Obsługa błędów związanych z kontem-istniejącym-z różnymi-poświadczeniami

Tryb wyskakujący

Tryb przekierowania

Zaawansowane: ręcznie obsługuj proces logowania

Uwierzytelnij się w Firebase w rozszerzeniu Chrome

Dostosowywanie domeny przekierowania dla logowania Microsoft

Następne kroki

Web modular API

Web namespaced API