Mit Firebase Authentication können sich Nutzer mit ihrer E-Mail-Adresse und ihrem Passwort bei Firebase authentifizieren und Sie können die passwortbasierten Konten Ihrer App verwalten.
Hinweis
- Fügen Sie Ihrem JavaScript-Projekt Firebase hinzu.
- Wenn Sie Ihre App noch nicht mit Ihrem Firebase-Projekt verknüpft haben, tun Sie dies in der Firebase Konsole.
-
Aktivieren Sie die E-Mail-Adresse/das Passwort als Anmeldeanbieter für Ihr Firebase-Projekt:
- Rufen Sie in der Firebase Konsole Sicherheit > Authentifizierung auf.
- Aktivieren Sie auf dem Tab Anmeldemethode den Anmeldeanbieter E-Mail-Adresse/Passwort.
- Klicken Sie auf Speichern.
Passwortbasiertes Konto erstellen
So erstellen Sie ein neues Nutzerkonto mit einem Passwort: Führen Sie auf der Registrierungsseite Ihrer App die folgenden Schritte aus:
- Wenn sich ein neuer Nutzer über das Registrierungsformular Ihrer App registriert, führen Sie alle Schritte zur Validierung des neuen Kontos aus, die Ihre App erfordert. Prüfen Sie beispielsweise, ob das Passwort des neuen Kontos korrekt eingegeben wurde und die Anforderungen an die Komplexität erfüllt.
- Erstellen Sie ein neues Konto, indem Sie die E-Mail-Adresse und das Passwort des neuen Nutzers an
createUserWithEmailAndPasswordübergeben:Wenn das neue Konto erstellt wurde, wird der Nutzer automatisch angemeldet. Im Abschnitt Nächste Schritte unten finden Sie die Details zum angemeldeten Nutzer.Web
import { getAuth, createUserWithEmailAndPassword } from "firebase/auth"; const auth = getAuth(); createUserWithEmailAndPassword(auth, email, password) .then((userCredential) => { // Signed up const user = userCredential.user; // ... }) .catch((error) => { const errorCode = error.code; const errorMessage = error.message; // .. });
Web
firebase.auth().createUserWithEmailAndPassword(email, password) .then((userCredential) => { // Signed in var user = userCredential.user; // ... }) .catch((error) => { var errorCode = error.code; var errorMessage = error.message; // .. });
Hier können Sie auch Fehler abfangen und verarbeiten. Eine Liste der Fehlercodes finden Sie in der Referenzdokumentation zur Authentifizierung.
Nutzer mit E-Mail-Adresse und Passwort anmelden
Die Schritte zum Anmelden eines Nutzers mit einem Passwort ähneln denen zum Erstellen eines neuen Kontos. Gehen Sie auf der Anmeldeseite Ihrer App so vor:
- Wenn sich ein Nutzer in Ihrer App anmeldet, übergeben Sie die E-Mail-Adresse und
das Passwort des Nutzers an
signInWithEmailAndPassword:Im Abschnitt Nächste Schritte unten finden Sie die Details zum angemeldeten Nutzer.Web
import { getAuth, signInWithEmailAndPassword } from "firebase/auth"; const auth = getAuth(); signInWithEmailAndPassword(auth, email, password) .then((userCredential) => { // Signed in const user = userCredential.user; // ... }) .catch((error) => { const errorCode = error.code; const errorMessage = error.message; });
Web
firebase.auth().signInWithEmailAndPassword(email, password) .then((userCredential) => { // Signed in var user = userCredential.user; // ... }) .catch((error) => { var errorCode = error.code; var errorMessage = error.message; });
Hier können Sie auch Fehler abfangen und verarbeiten. Eine Liste der Fehlercodes finden Sie in der Referenzdokumentation zur Authentifizierung.
Empfohlen: Passwortrichtlinie festlegen
Sie können die Kontosicherheit verbessern, indem Sie Anforderungen an die Komplexität von Passwörtern erzwingen.
Wenn Sie eine Passwortrichtlinie für Ihr Projekt konfigurieren möchten, öffnen Sie den Abschnitt Passwortrichtlinie auf dem Tab Sicherheit > Authentifizierung > Einstellungen der Firebase Konsole:
Authentifizierungseinstellungen
Firebase Authentication Passwortrichtlinien unterstützen die folgenden Passwortanforderungen:
Kleinbuchstaben erforderlich
Großbuchstaben erforderlich
Numerisches Zeichen erforderlich
Nicht alphanumerisches Zeichen erforderlich
Die folgenden Zeichen erfüllen die Anforderung für nicht alphanumerische Zeichen:
^ $ * . [ ] { } ( ) ? " ! @ # % & / \ , > < ' : ; | _ ~Mindestlänge des Passworts (6 bis 30 Zeichen, Standardwert: 6)
Maximale Länge des Passworts (maximal 4.096 Zeichen)
Sie können die Erzwingung der Passwortrichtlinie in zwei Modi aktivieren:
Erforderlich: Registrierungsversuche schlagen fehl, bis der Nutzer ein Passwort verwendet, das Ihrer Richtlinie entspricht.
Benachrichtigen: Nutzer können sich mit einem Passwort registrieren, das nicht der Richtlinie entspricht. In diesem Modus sollten Sie auf der Clientseite prüfen, ob das Passwort des Nutzers der Richtlinie entspricht, und den Nutzer auf irgendeine Weise auffordern, sein Passwort zu aktualisieren, wenn dies nicht der Fall ist.
Neue Nutzer müssen immer ein Passwort wählen, das Ihrer Richtlinie entspricht.
Wenn Sie aktive Nutzer haben, empfehlen wir, die Erzwingung des Upgrades bei der Anmeldung nicht zu aktivieren, es sei denn, Sie möchten den Zugriff für Nutzer blockieren, deren Passwörter nicht Ihrer Richtlinie entsprechen. Verwenden Sie stattdessen den Benachrichtigungsmodus, mit dem sich Nutzer mit ihren aktuellen Passwörtern anmelden können, und informieren Sie sie über die Anforderungen, die ihr Passwort nicht erfüllt.
Passwort auf dem Client validieren
import { getAuth, validatePassword } from "firebase/auth";
const status = await validatePassword(getAuth(), passwordFromUser);
if (!status.isValid) {
// Password could not be validated. Use the status to show what
// requirements are met and which are missing.
// If a criterion is undefined, it is not required by policy. If the
// criterion is defined but false, it is required but not fulfilled by
// the given password. For example:
const needsLowerCase = status.containsLowercaseLetter !== true;
}
Empfohlen: Schutz vor E-Mail-Enumeration aktivieren
Einige Firebase Authentication Methoden, die E-Mail-Adressen als Parameter verwenden, geben bestimmte Fehler aus, wenn die E-Mail-Adresse nicht registriert ist, obwohl sie registriert sein muss (z. B. bei der Anmeldung mit einer E-Mail-Adresse und einem Passwort), oder registriert ist obwohl sie nicht verwendet werden darf (z. B. beim Ändern der E-Mail-Adresse eines Nutzers). Das kann zwar hilfreich sein, um Nutzern bestimmte Abhilfemaßnahmen vorzuschlagen, kann aber auch von böswilligen Akteuren missbraucht werden, um die von Ihren Nutzern registrierten E-Mail-Adressen zu ermitteln.
Um dieses Risiko zu minimieren, empfehlen wir, den Schutz vor E-Mail-Enumeration zu aktivieren
für Ihr Projekt mit dem Google Cloud gcloud Tool. Wenn Sie diese
Funktion aktivieren, ändert sich das Verhalten der Fehlerberichterstattung von Firebase Authentication. Achten Sie darauf, dass Ihre App
nicht auf die genaueren Fehler angewiesen ist.
Nächste Schritte
Nachdem sich ein Nutzer zum ersten Mal angemeldet hat, wird ein neues Nutzerkonto erstellt und mit den Anmeldedaten verknüpft, d. h. mit dem Nutzernamen und Passwort, der Telefonnummer oder den Informationen des Authentifizierungsanbieters, mit denen sich der Nutzer angemeldet hat. Dieses neue Konto wird als Teil Ihres Firebase-Projekts gespeichert und kann verwendet werden, um einen Nutzer in allen Apps Ihres Projekts zu identifizieren, unabhängig davon, wie sich der Nutzer anmeldet.
-
In Ihren Apps ist es empfehlenswert, den Authentifizierungsstatus Ihres Nutzers zu ermitteln, indem Sie einen Beobachter für das Objekt
Authfestlegen. Anschließend können Sie die grundlegenden Profilinformationen des Nutzers aus dem ObjektUserabrufen. Weitere Informationen finden Sie unter Nutzer verwalten. In den Firebase Realtime Database und Cloud Storage Sicherheitsregeln können Sie die eindeutige Nutzer-ID des angemeldeten Nutzers aus der Variablen
authabrufen und damit steuern, auf welche Daten ein Nutzer zugreifen kann.
Rufen Sie
signOut auf, um einen Nutzer abzumelden:
Web
import { getAuth, signOut } from "firebase/auth"; const auth = getAuth(); signOut(auth).then(() => { // Sign-out successful. }).catch((error) => { // An error happened. });
Web
firebase.auth().signOut().then(() => { // Sign-out successful. }).catch((error) => { // An error happened. });