Puoi consentire agli utenti di autenticarsi con Firebase utilizzando il proprio ID Apple tramite l'SDK Firebase per eseguire il flusso di accesso OAuth 2.0 end-to-end.
Prima di iniziare
Per consentire agli utenti di accedere utilizzando Apple, configura prima Accedi con Apple sul sito per sviluppatori di Apple, quindi attiva Apple come provider di accesso per il tuo progetto Firebase.
Partecipa al programma per sviluppatori Apple
Accedi con Apple può essere configurato solo dai membri del programma Apple Developer.
Configurare Accedi con Apple
Sul sito Apple Developer, segui questi passaggi:
-
Associa il tuo sito web alla tua app come descritto nella prima sezione di Configurare Accedi con Apple per il web. Quando richiesto, registra il seguente URL come URL di ritorno:
https://YOUR_FIREBASE_PROJECT_ID.firebaseapp.com/__/auth/handler
Puoi recuperare l'ID progetto Firebase nella Firebase pagina di impostazioni della console.
Al termine, prendi nota del nuovo ID servizio, che ti servirà nella sezione successiva.
- Crea una chiave privata per Accedi con Apple. Nella sezione successiva avrai bisogno della nuova chiave privata e del nuovo ID chiave.
-
Se utilizzi una delle funzionalità di Firebase Authentication che inviano email agli utenti, tra cui l'accesso tramite link email, la verifica dell'indirizzo email, la revoca della modifica dell'account e altre, configura il servizio di inoltro email privato di Apple e registra
noreply@YOUR_FIREBASE_PROJECT_ID.firebaseapp.com(o il dominio del modello email personalizzato) in modo che Apple possa inoltrare le email inviate da Firebase Authentication ad indirizzi email Apple anonimizzati.
Attivare Apple come provider di accesso
- Aggiungi Firebase al tuo progetto Android. Assicurati di registrare la firma SHA-1 dell'app quando la configuri nella console Firebase.
- Nella console Firebase, apri la sezione Auth. Nella scheda Metodo di accesso, attiva il provider Apple. Specifica l'ID servizio che hai creato nella sezione precedente. Inoltre, nella sezione di configurazione del flusso di codice OAuth, specifica il tuo ID team Apple e la chiave privata e l'ID chiave che hai creato nella sezione precedente.
Rispettare i requisiti di Apple relativi ai dati anonimizzati
Accedi con Apple offre agli utenti la possibilità di anonimizzare i propri dati, incluso l'indirizzo email, quando accedono. Gli utenti che scelgono questa opzione hanno indirizzi email con il dominio privaterelay.appleid.com. Quando utilizzi Accedi con Apple nella tua app, devi rispettare eventuali norme o termini per gli sviluppatori di Apple applicabili in merito a questi ID Apple anonimizzati.
Ciò include l'ottenimento del consenso dell'utente richiesto prima di associare informazioni personali che consentono l'identificazione diretta a un ID Apple anonimizzato. Quando utilizzi Firebase Authentication, potrebbero essere incluse le seguenti azioni:
- Collega un indirizzo email a un ID Apple anonimizzato o viceversa.
- Collegare un numero di telefono a un ID Apple anonimizzato o viceversa
- Collegare una credenziale social non anonima (Facebook, Google e così via) a un ID Apple anonimizzato o viceversa.
L'elenco riportato sopra non è esaustivo. Consulta il Contratto di licenza del Programma sviluppatori Apple nella sezione Abbonamento del tuo account sviluppatore per assicurarti che la tua app soddisfi i requisiti di Apple.
Gestire il flusso di accesso con l'SDK Firebase
Su Android, il modo più semplice per autenticare gli utenti con Firebase utilizzando i loro account Apple è gestire l'intero flusso di accesso con l'SDK Firebase per Android.
Per gestire il flusso di accesso con l'SDK Firebase per Android:
Costruisci un'istanza di un
OAuthProviderutilizzando il relativo builder con l'ID fornitoreapple.com:Kotlin
val provider = OAuthProvider.newBuilder("apple.com")Java
OAuthProvider.Builder provider = OAuthProvider.newBuilder("apple.com");Facoltativo:specifica gli ambiti OAuth 2.0 aggiuntivi rispetto a quelli predefiniti che vuoi richiedere al provider di autenticazione.
Kotlin
provider.setScopes(arrayOf("email", "name"))Java
List<String> scopes = new ArrayList<String>() { { add("email"); add("name"); } }; provider.setScopes(scopes);Per impostazione predefinita, quando l'opzione Un account per indirizzo email è attivata, Firebase richiede gli ambiti email e nome. Se imposti questa impostazione su Più account per indirizzo email, Firebase non richiede alcun ambito ad Apple, a meno che tu non li specifichi.
Facoltativo:se vuoi visualizzare la schermata di accesso di Apple in una lingua diversa dall'inglese, imposta il parametro
locale. Consulta la documentazione di Accedi con Apple per conoscere le lingue supportate.Kotlin
// Localize the Apple authentication screen in French. provider.addCustomParameter("locale", "fr")Java
// Localize the Apple authentication screen in French. provider.addCustomParameter("locale", "fr");Esegui l'autenticazione con Firebase utilizzando l'oggetto provider OAuth. Tieni presente che, a differenza di altre operazioni
FirebaseAuth, questa acquisirà il controllo dell'interfaccia utente aprendo una scheda personalizzata di Chrome. Di conseguenza, non fare riferimento all'attività inOnSuccessListenereOnFailureListenerche colleghi, poiché si disattaccheranno immediatamente quando l'operazione avvia l'interfaccia utente.Per prima cosa, controlla se hai già ricevuto una risposta. Se accedi con questo metodo, la tua attività viene messa in background, il che significa che può essere recuperata dal sistema durante il flusso di accesso. Per assicurarti di non chiedere all'utente di riprovare in caso di errore, devi controllare se è già presente un risultato.
Per verificare se è presente un risultato in attesa, chiama
getPendingAuthResult():Kotlin
val pending = auth.pendingAuthResult if (pending != null) { pending.addOnSuccessListener { authResult -> Log.d(TAG, "checkPending:onSuccess:$authResult") // Get the user profile with authResult.getUser() and // authResult.getAdditionalUserInfo(), and the ID // token from Apple with authResult.getCredential(). }.addOnFailureListener { e -> Log.w(TAG, "checkPending:onFailure", e) } } else { Log.d(TAG, "pending: null") }Java
mAuth = FirebaseAuth.getInstance(); Task<AuthResult> pending = mAuth.getPendingAuthResult(); if (pending != null) { pending.addOnSuccessListener(new OnSuccessListener<AuthResult>() { @Override public void onSuccess(AuthResult authResult) { Log.d(TAG, "checkPending:onSuccess:" + authResult); // Get the user profile with authResult.getUser() and // authResult.getAdditionalUserInfo(), and the ID // token from Apple with authResult.getCredential(). } }).addOnFailureListener(new OnFailureListener() { @Override public void onFailure(@NonNull Exception e) { Log.w(TAG, "checkPending:onFailure", e); } }); } else { Log.d(TAG, "pending: null"); }Se non sono presenti risultati in attesa, avvia il flusso di accesso chiamando
startActivityForSignInWithProvider():Kotlin
auth.startActivityForSignInWithProvider(this, provider.build()) .addOnSuccessListener { authResult -> // Sign-in successful! Log.d(TAG, "activitySignIn:onSuccess:${authResult.user}") val user = authResult.user // ... } .addOnFailureListener { e -> Log.w(TAG, "activitySignIn:onFailure", e) }Java
mAuth.startActivityForSignInWithProvider(this, provider.build()) .addOnSuccessListener( new OnSuccessListener<AuthResult>() { @Override public void onSuccess(AuthResult authResult) { // Sign-in successful! Log.d(TAG, "activitySignIn:onSuccess:" + authResult.getUser()); FirebaseUser user = authResult.getUser(); // ... } }) .addOnFailureListener( new OnFailureListener() { @Override public void onFailure(@NonNull Exception e) { Log.w(TAG, "activitySignIn:onFailure", e); } });A differenza di altri provider supportati da Firebase Auth, Apple non fornisce un URL della foto.
Inoltre, quando l'utente sceglie di non condividere il proprio indirizzo email con l'app, Apple fornisce un indirizzo email univoco per l'utente (del tipo
xyz@privaterelay.appleid.com), che condivide con la tua app. Se hai configurato il servizio di inoltro email privato, Apple inoltra le email inviate all'indirizzo anonimizzato all'indirizzo email reale dell'utente.Apple condivide le informazioni utente, come il nome visualizzato, con le app solo la prima volta che un utente accede. In genere, Firebase memorizza il nome visualizzato la prima volta che un utente accede con Apple, che puoi ottenere con
getCurrentUser().getDisplayName(). Tuttavia, se in precedenza hai utilizzato Apple per far accedere un utente all'app senza utilizzare Firebase, Apple non fornirà a Firebase il nome visualizzato dell'utente.
Riconvalida e collegamento dell'account
Lo stesso pattern può essere utilizzato con startActivityForReauthenticateWithProvider()
che puoi utilizzare per recuperare una nuova credenziale per operazioni sensibili che
richiedono l'accesso recente:
Kotlin
// The user is already signed-in.
val firebaseUser = auth.getCurrentUser()
firebaseUser
.startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
.addOnSuccessListener( authResult -> {
// User is re-authenticated with fresh tokens and
// should be able to perform sensitive operations
// like account deletion and email or password
// update.
})
.addOnFailureListener( e -> {
// Handle failure.
})
Java
// The user is already signed-in.
FirebaseUser firebaseUser = mAuth.getCurrentUser();
firebaseUser
.startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
.addOnSuccessListener(
new OnSuccessListener<AuthResult>() {
@Override
public void onSuccess(AuthResult authResult) {
// User is re-authenticated with fresh tokens and
// should be able to perform sensitive operations
// like account deletion and email or password
// update.
}
})
.addOnFailureListener(
new OnFailureListener() {
@Override
public void onFailure(@NonNull Exception e) {
// Handle failure.
}
});
Inoltre, puoi utilizzare linkWithCredential() per collegare diversi provider di identità agli account esistenti.
Tieni presente che Apple ti richiede di ottenere il consenso esplicito degli utenti prima di collegare i loro account Apple ad altri dati.
Ad esempio, per collegare un account Facebook all'account Firebase corrente, utilizza il token di accesso ottenuto dall'accesso dell'utente a Facebook:
Kotlin
// Initialize a Facebook credential with a Facebook access token.
val credential = FacebookAuthProvider.getCredential(token.getToken())
// Assuming the current user is an Apple user linking a Facebook provider.
mAuth.getCurrentUser().linkWithCredential(credential)
.addOnCompleteListener(this, task -> {
if (task.isSuccessful()) {
// Facebook credential is linked to the current Apple user.
// The user can now sign in to the same account
// with either Apple or Facebook.
}
});
Java
// Initialize a Facebook credential with a Facebook access token.
AuthCredential credential = FacebookAuthProvider.getCredential(token.getToken());
// Assuming the current user is an Apple user linking a Facebook provider.
mAuth.getCurrentUser().linkWithCredential(credential)
.addOnCompleteListener(this, new OnCompleteListener<AuthResult>() {
@Override
public void onComplete(@NonNull Task<AuthResult> task) {
if (task.isSuccessful()) {
// Facebook credential is linked to the current Apple user.
// The user can now sign in to the same account
// with either Apple or Facebook.
}
}
});
Avanzate: gestisci manualmente il flusso di accesso
Puoi anche eseguire l'autenticazione con Firebase utilizzando un account Apple gestendo il flusso di accesso tramite l'SDK JS di Accesso Apple, creando manualmente il flusso OAuth o utilizzando una libreria OAuth come AppAuth.
Per ogni richiesta di accesso, genera una stringa casuale, un "nonce", che utilizzerai per assicurarti che il token ID che ricevi sia stato concesso specificamente in risposta alla richiesta di autenticazione della tua app. Questo passaggio è importante per prevenire gli attacchi di replay.
Puoi generare un nonce crittograficamente sicuro su Android con
SecureRandom, come nell'esempio seguente:Kotlin
private fun generateNonce(length: Int): String { val generator = SecureRandom() val charsetDecoder = StandardCharsets.US_ASCII.newDecoder() charsetDecoder.onUnmappableCharacter(CodingErrorAction.IGNORE) charsetDecoder.onMalformedInput(CodingErrorAction.IGNORE) val bytes = ByteArray(length) val inBuffer = ByteBuffer.wrap(bytes) val outBuffer = CharBuffer.allocate(length) while (outBuffer.hasRemaining()) { generator.nextBytes(bytes) inBuffer.rewind() charsetDecoder.reset() charsetDecoder.decode(inBuffer, outBuffer, false) } outBuffer.flip() return outBuffer.toString() }Java
private String generateNonce(int length) { SecureRandom generator = new SecureRandom(); CharsetDecoder charsetDecoder = StandardCharsets.US_ASCII.newDecoder(); charsetDecoder.onUnmappableCharacter(CodingErrorAction.IGNORE); charsetDecoder.onMalformedInput(CodingErrorAction.IGNORE); byte[] bytes = new byte[length]; ByteBuffer inBuffer = ByteBuffer.wrap(bytes); CharBuffer outBuffer = CharBuffer.allocate(length); while (outBuffer.hasRemaining()) { generator.nextBytes(bytes); inBuffer.rewind(); charsetDecoder.reset(); charsetDecoder.decode(inBuffer, outBuffer, false); } outBuffer.flip(); return outBuffer.toString(); }Quindi, ottieni l'hash SHA246 del nonce come stringa esadecimale:
Kotlin
private fun sha256(s: String): String { val md = MessageDigest.getInstance("SHA-256") val digest = md.digest(s.toByteArray()) val hash = StringBuilder() for (c in digest) { hash.append(String.format("%02x", c)) } return hash.toString() }Java
private String sha256(String s) throws NoSuchAlgorithmException { MessageDigest md = MessageDigest.getInstance("SHA-256"); byte[] digest = md.digest(s.getBytes()); StringBuilder hash = new StringBuilder(); for (byte c: digest) { hash.append(String.format("%02x", c)); } return hash.toString(); }Invierai l'hash SHA256 del nonce con la richiesta di accesso, che Apple trasmetterà invariato nella risposta. Firebase convalida la risposta hashing il nonce originale e confrontandolo con il valore passato da Apple.
Avvia il flusso di accesso di Apple utilizzando la tua libreria OAuth o un altro metodo. Assicurati di includere il nonce sottoposto ad hashing come parametro nella richiesta.
Dopo aver ricevuto la risposta di Apple, recupera l'ID token dalla risposta e utilizzalo insieme al nonce non sottoposto ad hashing per creare un
AuthCredential:Kotlin
val credential = OAuthProvider.newCredentialBuilder("apple.com") .setIdTokenWithRawNonce(appleIdToken, rawUnhashedNonce) .build()Java
AuthCredential credential = OAuthProvider.newCredentialBuilder("apple.com") .setIdTokenWithRawNonce(appleIdToken, rawUnhashedNonce) .build();Esegui l'autenticazione con Firebase utilizzando la credenziale Firebase:
Kotlin
auth.signInWithCredential(credential) .addOnCompleteListener(this) { task -> if (task.isSuccessful) { // User successfully signed in with Apple ID token. // ... } }Java
mAuth.signInWithCredential(credential) .addOnCompleteListener(this, new OnCompleteListener<AuthResult>() { @Override public void onComplete(@NonNull Task<AuthResult> task) { if (task.isSuccessful()) { // User successfully signed in with Apple ID token. // ... } } });
Se la chiamata a signInWithCredential va a buon fine, puoi utilizzare il metodo getCurrentUser per recuperare i dati dell'account dell'utente.
Revoca token
Apple richiede che le app che supportano la creazione di account debbano consentire agli utenti di avviare l'eliminazione del proprio account all'interno dell'app, come descritto nelle linee guida per la revisione dell'App Store.
Inoltre, le app che supportano Accedi con Apple devono utilizzare l'API REST Accedi con Apple per revocare i token utente.
Per soddisfare questo requisito, implementa i seguenti passaggi:
Utilizza il metodo
startActivityForSignInWithProvider()per accedere con Apple e ottenereAuthResult.Ottieni il token di accesso per il provider Apple.
Kotlin
val oauthCredential: OAuthCredential = authResult.credential val accessToken = oauthCredential.accessTokenJava
OAuthCredential oauthCredential = (OAuthCredential) authResult.getCredential(); String accessToken = oauthCredential.getAccessToken();Revoca il token utilizzando l'API
revokeAccessToken.Kotlin
mAuth.revokeAccessToken(accessToken) .addOnCompleteListener(this) { task -> if (task.isSuccessful) { // Access token successfully revoked // for the user ... } }Java
mAuth.revokeAccessToken(accessToken) .addOnCompleteListener(this, new OnCompleteListener<Void>() { @Override public void onComplete(@NonNull Task<Void> task) { if (task.isSuccessful()) { // Access token successfully revoked // for the user ... } } });
- Infine, elimina l'account utente (e tutti i dati associati).
Passaggi successivi
Dopo che un utente ha eseguito l'accesso per la prima volta, viene creato un nuovo account utente e collegato alle credenziali, ovvero nome utente e password, numero di telefono o informazioni del fornitore di autenticazione, con cui l'utente ha eseguito l'accesso. Questo nuovo account viene archiviato nel tuo progetto Firebase e può essere utilizzato per identificare un utente in tutte le app del progetto, indipendentemente da come accede.
-
Nelle tue app, puoi recuperare le informazioni di base del profilo dell'utente dall'oggetto
FirebaseUser. Vedi Gestire gli utenti. Nelle Regole di sicurezza Firebase Realtime Database e Cloud Storage, puoi recuperare l'ID utente univoco dell'utente che ha eseguito l'accesso dalla variabile
authe utilizzarlo per controllare a quali dati può accedere un utente.
Puoi consentire agli utenti di accedere alla tua app utilizzando più provider di autenticazione collegando le credenziali del provider di autenticazione a un account utente esistente.
Per scollegare un utente, chiama
signOut:Kotlin
Firebase.auth.signOut()
Java
FirebaseAuth.getInstance().signOut();
-