Аутентификация с использованием Microsoft с JavaScript

Вы можете разрешить своим пользователям аутентифицироваться в Firebase с помощью поставщиков OAuth, таких как Microsoft Azure Active Directory, интегрировав общий вход OAuth в свое приложение с помощью Firebase SDK для выполнения сквозного процесса входа.

Прежде чем начать

Чтобы войти в систему с помощью учетных записей Microsoft (Azure Active Directory и личных учетных записей Microsoft), сначала необходимо включить Microsoft в качестве поставщика входа для вашего проекта Firebase:

  1. Добавьте Firebase в свой проект JavaScript .
  2. В консоли Firebase откройте раздел Auth .
  3. На вкладке «Метод входа » включите поставщика Microsoft .
  4. Добавьте идентификатор клиента и секрет клиента из консоли разработчика этого поставщика в конфигурацию поставщика:
    1. Чтобы зарегистрировать клиент Microsoft OAuth, следуйте инструкциям в разделе Краткое руководство: Зарегистрируйте приложение с помощью конечной точки Azure Active Directory v2.0 . Обратите внимание, что эта конечная точка поддерживает вход с использованием личных учетных записей Microsoft, а также учетных записей Azure Active Directory. Узнайте больше об Azure Active Directory версии 2.0.
    2. При регистрации приложений у этих поставщиков обязательно зарегистрируйте домен *.firebaseapp.com для вашего проекта в качестве домена перенаправления для вашего приложения.
  5. Нажмите Сохранить .

Управляйте процессом входа с помощью Firebase SDK

Если вы создаете веб-приложение, самый простой способ аутентификации ваших пользователей в Firebase с использованием их учетных записей Microsoft — это обработка всего процесса входа в систему с помощью Firebase JavaScript SDK.

Чтобы обработать процесс входа с помощью Firebase JavaScript SDK, выполните следующие действия:

  1. Создайте экземпляр OAuthProvider, используя идентификатор поставщика microsoft.com .

    WebWeb
    import { OAuthProvider } from "firebase/auth";
    
    const provider = new OAuthProvider('microsoft.com');
    var provider = new firebase.auth.OAuthProvider('microsoft.com');
  2. Необязательно : укажите дополнительные пользовательские параметры OAuth, которые вы хотите отправить с запросом OAuth.

    WebWeb
    provider.setCustomParameters({
      // Force re-consent.
      prompt: 'consent',
      // Target specific email with login hint.
      login_hint: 'user@firstadd.onmicrosoft.com'
    });
    provider.setCustomParameters({
      // Force re-consent.
      prompt: 'consent',
      // Target specific email with login hint.
      login_hint: 'user@firstadd.onmicrosoft.com'
    });

    Параметры, поддерживаемые Microsoft, см. в документации Microsoft OAuth . Обратите внимание, что вы не можете передавать параметры, необходимые для Firebase, с помощью setCustomParameters() . Этими параметрами являются client_id , тип_ответа , redirect_uri , состояние , область действия и режим_ответа .

    Чтобы разрешить вход в приложение только пользователям из определенного клиента Azure AD, можно использовать либо понятное доменное имя клиента Azure AD, либо идентификатор GUID клиента. Это можно сделать, указав поле «арендатор» в объекте пользовательских параметров.

    WebWeb
    provider.setCustomParameters({
      // Optional "tenant" parameter in case you are using an Azure AD tenant.
      // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
      // or "common" for tenant-independent tokens.
      // The default value is "common".
      tenant: 'TENANT_ID'
    });
    provider.setCustomParameters({
      // Optional "tenant" parameter in case you are using an Azure AD tenant.
      // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
      // or "common" for tenant-independent tokens.
      // The default value is "common".
      tenant: 'TENANT_ID'
    });
  3. Необязательно : укажите дополнительные области OAuth 2.0 помимо базового профиля, которые вы хотите запросить у поставщика аутентификации.

    provider.addScope('mail.read');
    provider.addScope('calendars.read');

    Дополнительные сведения см. в документации по разрешениям и согласиям Microsoft .

  4. Аутентификация в Firebase с использованием объекта провайдера OAuth. Вы можете предложить своим пользователям войти в систему с помощью своих учетных записей Microsoft, открыв всплывающее окно или перенаправив на страницу входа. Метод перенаправления предпочтителен на мобильных устройствах.

    • Чтобы войти в систему с помощью всплывающего окна, вызовите signInWithPopup :
    WebWeb
    import { getAuth, signInWithPopup, OAuthProvider } from "firebase/auth";
    
    const auth = getAuth();
    signInWithPopup(auth, provider)
      .then((result) => {
        // User is signed in.
        // IdP data available in result.additionalUserInfo.profile.
    
        // Get the OAuth access token and ID Token
        const credential = OAuthProvider.credentialFromResult(result);
        const accessToken = credential.accessToken;
        const idToken = credential.idToken;
      })
      .catch((error) => {
        // Handle error.
      });
    firebase.auth().signInWithPopup(provider)
      .then((result) => {
        // IdP data available in result.additionalUserInfo.profile.
        // ...
    
        /** @type {firebase.auth.OAuthCredential} */
        var credential = result.credential;
    
        // OAuth access and id tokens can also be retrieved:
        var accessToken = credential.accessToken;
        var idToken = credential.idToken;
      })
      .catch((error) => {
        // Handle error.
      });
    • Чтобы войти в систему путем перенаправления на страницу входа, вызовите signInWithRedirect :

    Следуйте рекомендациям при использовании signInWithRedirect , linkWithRedirect или reauthenticateWithRedirect .

    WebWeb
    import { getAuth, signInWithRedirect } from "firebase/auth";
    
    const auth = getAuth();
    signInWithRedirect(auth, provider);
    firebase.auth().signInWithRedirect(provider);

    После того как пользователь завершит вход и вернется на страницу, вы можете получить результат входа, вызвав getRedirectResult .

    WebWeb
    import { getAuth, getRedirectResult, OAuthProvider } from "firebase/auth";
    
    const auth = getAuth();
    getRedirectResult(auth)
      .then((result) => {
        // User is signed in.
        // IdP data available in result.additionalUserInfo.profile.
    
        // Get the OAuth access token and ID Token
        const credential = OAuthProvider.credentialFromResult(result);
        const accessToken = credential.accessToken;
        const idToken = credential.idToken;
      })
      .catch((error) => {
        // Handle error.
      });
    firebase.auth().getRedirectResult()
      .then((result) => {
        // IdP data available in result.additionalUserInfo.profile.
        // ...
    
        /** @type {firebase.auth.OAuthCredential} */
        var credential = result.credential;
    
        // OAuth access and id tokens can also be retrieved:
        var accessToken = credential.accessToken;
        var idToken = credential.idToken;
      })
      .catch((error) => {
        // Handle error.
      });

    При успешном завершении токен доступа OAuth, связанный с провайдером, может быть получен из возвращенного объекта firebase.auth.UserCredential .

    Используя токен доступа OAuth, вы можете вызвать API Microsoft Graph .

    Например, чтобы получить базовую информацию профиля, можно вызвать следующий REST API:

    curl -i -H "Authorization: Bearer ACCESS_TOKEN" https://graph.microsoft.com/v1.0/me

    В отличие от других поставщиков, поддерживаемых Firebase Auth, Microsoft не предоставляет URL-адрес фотографии, и вместо этого двоичные данные для фотографии профиля необходимо запрашивать через Microsoft Graph API .

    Помимо токена доступа OAuth, токен идентификатора OAuth пользователя также можно получить из объекта firebase.auth.UserCredential . sub запрос в токене идентификатора зависит от приложения и не будет соответствовать идентификатору федеративного пользователя, используемому Firebase Auth и доступному через user.providerData[0].uid . Вместо этого следует использовать поле претензии oid . При использовании клиента Azure AD для входа в систему утверждение oid будет точно совпадать. Однако в случае без арендатора поле oid дополняется. Для федеративного идентификатора 4b2eabcdefghijkl oid будет иметь форму 00000000-0000-0000-4b2e-abcdefghijkl .

  5. Хотя приведенные выше примеры ориентированы на процессы входа в систему, у вас также есть возможность связать поставщика Microsoft с существующим пользователем с помощью linkWithPopup / linkWithRedirect . Например, вы можете связать несколько поставщиков с одним и тем же пользователем, позволяя им входить в систему с любым из них.

    WebWeb
    import { getAuth, linkWithPopup, OAuthProvider } from "firebase/auth";
    
    const provider = new OAuthProvider('microsoft.com');
    const auth = getAuth();
    
    linkWithPopup(auth.currentUser, provider)
        .then((result) => {
          // Microsoft credential is linked to the current user.
          // IdP data available in result.additionalUserInfo.profile.
    
          // Get the OAuth access token and ID Token
          const credential = OAuthProvider.credentialFromResult(result);
          const accessToken = credential.accessToken;
          const idToken = credential.idToken;
        })
        .catch((error) => {
          // Handle error.
        });
    var provider = new firebase.auth.OAuthProvider('microsoft.com');
    firebase.auth().currentUser.linkWithPopup(provider)
        .then((result) => {
          // Microsoft credential is linked to the current user.
          // IdP data available in result.additionalUserInfo.profile.
          // OAuth access token can also be retrieved:
          // result.credential.accessToken
          // OAuth ID token can also be retrieved:
          // result.credential.idToken
        })
        .catch((error) => {
          // Handle error.
        });
  6. Тот же шаблон можно использовать с reauthenticateWithPopup / reauthenticateWithRedirect , который можно использовать для получения новых учетных данных для конфиденциальных операций, требующих недавнего входа в систему.

    WebWeb
    import { getAuth, reauthenticateWithPopup, OAuthProvider } from "firebase/auth";
    
    const provider = new OAuthProvider('microsoft.com');
    const auth = getAuth();
    reauthenticateWithPopup(auth.currentUser, provider)
        .then((result) => {
          // User is re-authenticated with fresh tokens minted and
          // should be able to perform sensitive operations like account
          // deletion and email or password update.
          // IdP data available in result.additionalUserInfo.profile.
    
          // Get the OAuth access token and ID Token
          const credential = OAuthProvider.credentialFromResult(result);
          const accessToken = credential.accessToken;
          const idToken = credential.idToken;
        })
        .catch((error) => {
          // Handle error.
        });
    var provider = new firebase.auth.OAuthProvider('microsoft.com');
    firebase.auth().currentUser.reauthenticateWithPopup(provider)
        .then((result) => {
          // User is re-authenticated with fresh tokens minted and
          // should be able to perform sensitive operations like account
          // deletion and email or password update.
          // IdP data available in result.additionalUserInfo.profile.
          // OAuth access token can also be retrieved:
          // result.credential.accessToken
          // OAuth ID token can also be retrieved:
          // result.credential.idToken
        })
        .catch((error) => {
          // Handle error.
        });

Если вы включили настройку «Одна учетная запись на адрес электронной почты» в консоли Firebase , когда пользователь пытается войти в систему у провайдера (например, Microsoft) с адресом электронной почты, который уже существует для другого провайдера пользователя Firebase (например, Google), возникает ошибка. auth/account-exists-with-different-credential выбрасывается вместе с объектом AuthCredential (учетные данные Microsoft). Чтобы завершить вход в систему предполагаемого поставщика, пользователь должен сначала войти в систему существующего поставщика (Google), а затем связать его с прежним AuthCredential (учетными данными Microsoft).

Если вы используете signInWithPopup , вы можете обрабатывать ошибки auth/account-exists-with-different-credential с помощью кода, подобного следующему примеру:

import {
  getAuth,
  linkWithCredential,
  signInWithPopup,
  OAuthProvider,
} from "firebase/auth";

try {
  // Step 1: User tries to sign in using Microsoft.
  let result = await signInWithPopup(getAuth(), new OAuthProvider());
} catch (error) {
  // Step 2: User's email already exists.
  if (error.code === "auth/account-exists-with-different-credential") {
    // The pending Microsoft credential.
    let pendingCred = error.credential;

    // Step 3: Save the pending credential in temporary storage,

    // Step 4: Let the user know that they already have an account
    // but with a different provider, and let them choose another
    // sign-in method.
  }
}

// ...

try {
  // Step 5: Sign the user in using their chosen method.
  let result = await signInWithPopup(getAuth(), userSelectedProvider);

  // Step 6: Link to the Microsoft credential.
  // TODO: implement `retrievePendingCred` for your app.
  let pendingCred = retrievePendingCred();

  if (pendingCred !== null) {
    // As you have access to the pending credential, you can directly call the
    // link method.
    let user = await linkWithCredential(result.user, pendingCred);
  }

  // Step 7: Continue to app.
} catch (error) {
  // ...
}

Режим перенаправления

Эта ошибка обрабатывается аналогичным образом в режиме перенаправления, с той разницей, что ожидающие учетные данные должны кэшироваться между перенаправлениями страниц (например, с использованием хранилища сеансов).

В отличие от других провайдеров OAuth, поддерживаемых Firebase, таких как Google, Facebook и Twitter, где вход в систему может быть осуществлен напрямую с использованием учетных данных на основе токена доступа OAuth, Firebase Auth не поддерживает те же возможности для таких провайдеров, как Microsoft, из-за неспособности Сервер Firebase Auth для проверки аудитории токенов доступа Microsoft OAuth. Это критическое требование безопасности, которое может подвергнуть приложения и веб-сайты повторным атакам, когда токен доступа Microsoft OAuth, полученный для одного проекта (злоумышленника), может использоваться для входа в другой проект (жертва). Вместо этого Firebase Auth предлагает возможность обрабатывать весь поток OAuth и обмен кодами авторизации, используя идентификатор клиента OAuth и секрет, настроенные в консоли Firebase. Поскольку код авторизации можно использовать только в сочетании с определенным идентификатором/секретом клиента, код авторизации, полученный для одного проекта, не может использоваться для другого.

Если этих провайдеров необходимо использовать в неподдерживаемых средах, необходимо использовать стороннюю библиотеку OAuth и пользовательскую аутентификацию Firebase . Первый необходим для аутентификации у поставщика, а второй — для обмена учетных данных поставщика на специальный токен.

Аутентификация с помощью Firebase в расширении Chrome

Если вы создаете приложение-расширение Chrome, см. руководство по Offscreen Documents .

При создании проекта Firebase предоставит для вашего проекта уникальный субдомен: https://my-app-12345.firebaseapp.com .

Это также будет использоваться в качестве механизма перенаправления для входа в систему OAuth. Этот домен необходимо будет разрешить для всех поддерживаемых поставщиков OAuth. Однако это означает, что пользователи могут видеть этот домен при входе в Microsoft перед перенаправлением обратно в приложение: Продолжить: https://my-app-12345.firebaseapp.com .

Чтобы не отображать свой субдомен, вы можете настроить собственный домен с помощью Firebase Hosting :

  1. Выполните шаги 1–3 в разделе «Настройка домена для Hosting . Когда вы подтверждаете право собственности на домен, Hosting предоставляет сертификат SSL для вашего личного домена.
  2. Добавьте свой личный домен в список авторизованных доменов в консоли Firebase : auth.custom.domain.com .
  3. В консоли разработчика Microsoft или на странице настройки OAuth добавьте в белый список URL-адрес страницы перенаправления, которая будет доступна в вашем личном домене: https://auth.custom.domain.com/__/auth/handler .
  4. При инициализации библиотеки JavaScript укажите свой личный домен в поле authDomain :
    var config = {
      apiKey: '...',
      // Changed from 'PROJECT_ID.firebaseapp.com'.
      authDomain: 'auth.custom.domain.com',
      databaseURL: 'https://PROJECT_ID.firebaseio.com',
      projectId: 'PROJECT_ID',
      storageBucket: 'PROJECT_ID.firebasestorage.app',
      messagingSenderId: 'SENDER_ID'
    };
    firebase.initializeApp(config);

Следующие шаги

После того, как пользователь входит в систему в первый раз, создается новая учетная запись пользователя, которая связывается с учетными данными (то есть именем пользователя и паролем, номером телефона или информацией поставщика аутентификации), с которыми пользователь вошел в систему. Эта новая учетная запись хранится как часть вашего проекта Firebase и может использоваться для идентификации пользователя в каждом приложении вашего проекта, независимо от того, как пользователь входит в систему.

  • В ваших приложениях рекомендуемый способ узнать статус аутентификации вашего пользователя — установить наблюдателя на объекте Auth . Затем вы можете получить базовую информацию профиля пользователя из объекта User . См. Управление пользователями .

  • В правилах безопасности базы данных реального времени и Cloud Storage Firebase Realtime Database вы можете получить уникальный идентификатор пользователя, вошедшего в систему, из переменной auth и использовать его для управления тем, к каким данным пользователь может получить доступ.

Вы можете разрешить пользователям входить в ваше приложение с использованием нескольких поставщиков аутентификации, связав учетные данные поставщика аутентификации с существующей учетной записью пользователя.

Чтобы выйти из системы, вызовите signOut :

WebWeb
import { getAuth, signOut } from "firebase/auth";

const auth = getAuth();
signOut(auth).then(() => {
  // Sign-out successful.
}).catch((error) => {
  // An error happened.
});
firebase.auth().signOut().then(() => {
  // Sign-out successful.
}).catch((error) => {
  // An error happened.
});