Xác thực bằng Apple trên Android

Bạn có thể cho phép người dùng xác thực bằng Firebase bằng ID Apple của họ bằng cách sử dụng Firebase SDK để thực hiện quy trình đăng nhập OAuth 2.0 toàn diện.

Trước khi bắt đầu

Để đăng nhập cho người dùng bằng Apple, trước tiên hãy định cấu hình tính năng Đăng nhập bằng Apple trên trang web dành cho nhà phát triển của Apple, sau đó bật Apple làm nhà cung cấp dịch vụ đăng nhập cho Dự án Firebase.

Tham gia Chương trình nhà phát triển của Apple

Chỉ thành viên của Nhà phát triển Apple mới có thể định cấu hình cho tính năng Đăng nhập bằng Apple Chương trình.

Định cấu hình tính năng Đăng nhập bằng Apple

Trên Apple dành cho nhà phát triển, hãy làm như sau:

  1. Liên kết trang web với ứng dụng của bạn như mô tả trong phần đầu tiên trong tổng số Định cấu hình tính năng Đăng nhập bằng Apple cho web. Khi được nhắc, hãy đăng ký URL sau đây làm URL trả lại:

    https://YOUR_FIREBASE_PROJECT_ID.firebaseapp.com/__/auth/handler

    Bạn có thể nhận được mã dự án Firebase trên trang Bảng điều khiển Firebase trang cài đặt.

    Khi bạn hoàn tất, hãy ghi lại Mã dịch vụ mới để có trong phần tiếp theo.

  2. Tạo một Đăng nhập bằng khoá riêng tư của Apple. Bạn sẽ cần khoá riêng tư và khoá mới mã nhận dạng trong phần tiếp theo.
  3. Nếu bạn sử dụng bất kỳ tính năng nào của Firebase Authentication để gửi email cho người dùng, bao gồm đăng nhập bằng đường liên kết email, xác minh địa chỉ email, thay đổi tài khoản thu hồi và khác, định cấu hình dịch vụ chuyển tiếp email riêng tư của Apple rồi đăng ký noreply@YOUR_FIREBASE_PROJECT_ID.firebaseapp.com (hoặc miền mẫu email tuỳ chỉnh của bạn) để Apple có thể chuyển tiếp các email được gửi của Firebase Authentication sang địa chỉ email ẩn danh của Apple.

Cho phép Apple làm nhà cung cấp dịch vụ đăng nhập

  1. Thêm Firebase vào dự án Android của bạn. Hãy hãy nhớ đăng ký chữ ký SHA-1 của ứng dụng khi bạn thiết lập ứng dụng trong Bảng điều khiển Firebase.
  2. Trong bảng điều khiển Firebase, hãy mở phần Xác thực. Trên thẻ Phương thức đăng nhập, bật nhà cung cấp Apple. Chỉ định Mã dịch vụ mà bạn đã tạo ở phần trước. Ngoài ra, trong Phần cấu hình luồng mã OAuth, chỉ định ID nhóm Apple của bạn và khoá cá nhân và mã nhận dạng khoá mà bạn đã tạo ở phần trước.

Tuân thủ các yêu cầu của Apple về dữ liệu ẩn danh

Tính năng Đăng nhập bằng Apple cho phép người dùng ẩn danh dữ liệu của họ, bao gồm cả địa chỉ email của họ khi đăng nhập. Người dùng chọn phương án này có địa chỉ email với miền privaterelay.appleid.com. Thời gian bạn sử dụng tính năng Đăng nhập bằng Apple trong ứng dụng của mình, bạn phải tuân thủ mọi chính sách dành cho nhà phát triển hoặc điều khoản của Apple liên quan đến Mã nhận dạng.

Điều này bao gồm việc có được sự đồng ý cần thiết của người dùng trước khi bạn liên kết mọi thông tin cá nhân nhận dạng trực tiếp với Apple ẩn danh Mã nhận dạng. Khi sử dụng tính năng Xác thực Firebase, điều này có thể bao gồm những điều sau hành động:

  • Liên kết một địa chỉ email với một ID Apple ẩn danh hoặc ngược lại.
  • Liên kết số điện thoại với ID Apple ẩn danh hoặc ngược lại
  • Liên kết thông tin đăng nhập xã hội không ẩn danh (Facebook, Google, v.v.) với Apple ID ẩn danh hoặc ngược lại.

Danh sách bên trên chưa đầy đủ. Tham khảo Chương trình dành cho nhà phát triển của Apple Thoả thuận cấp phép trong phần Thành viên của tài khoản nhà phát triển để thực hiện đảm bảo ứng dụng của bạn đáp ứng các yêu cầu của Apple.

Xử lý quy trình đăng nhập bằng Firebase SDK

Trên Android, cách dễ nhất để xác thực người dùng với Firebase bằng cách sử dụng Tài khoản Apple sẽ xử lý toàn bộ quy trình đăng nhập bằng Firebase dành cho Android SDK.

Để xử lý quy trình đăng nhập bằng SDK Android của Firebase, hãy làm theo các bước sau:

  1. Tạo một thực thể của OAuthProvider bằng Trình tạo với tham số Mã nhà cung cấp apple.com:

    Kotlin+KTX

    val provider = OAuthProvider.newBuilder("apple.com")
    

    Java

    OAuthProvider.Builder provider = OAuthProvider.newBuilder("apple.com");
    
  2. Không bắt buộc: Chỉ định các phạm vi OAuth 2.0 khác ngoài phạm vi mặc định mà bạn muốn yêu cầu từ nhà cung cấp dịch vụ xác thực.

    Kotlin+KTX

    provider.setScopes(arrayOf("email", "name"))
    

    Java

    List<String> scopes =
        new ArrayList<String>() {
          {
            add("email");
            add("name");
          }
        };
    provider.setScopes(scopes);
    

    Theo mặc định, khi bạn bật chế độ Một tài khoản cho mỗi địa chỉ email, Firebase yêu cầu phạm vi tên và email. Nếu bạn thay đổi cài đặt này thành Nhiều tài khoản cho mỗi địa chỉ email, Firebase không yêu cầu bất kỳ phạm vi nào từ Apple trừ khi bạn chỉ định chúng.

  3. Không bắt buộc: Nếu bạn muốn hiển thị màn hình đăng nhập của Apple bằng một ngôn ngữ không phải tiếng Anh, hãy đặt thông số locale. Xem Đăng nhập bằng Tài liệu của Apple cho các ngôn ngữ được hỗ trợ.

    Kotlin+KTX

    // Localize the Apple authentication screen in French.
    provider.addCustomParameter("locale", "fr")
    

    Java

    // Localize the Apple authentication screen in French.
    provider.addCustomParameter("locale", "fr");
    
  4. Xác thực bằng Firebase bằng đối tượng nhà cung cấp OAuth. Xin lưu ý rằng không giống như các thao tác FirebaseAuth khác, thao tác này sẽ kiểm soát giao diện người dùng bằng cách mở một Thẻ Chrome tuỳ chỉnh. Do đó, không tham chiếu đến Hoạt động của bạn trong OnSuccessListenerOnFailureListener mà bạn đính kèm vì chúng sẽ ngay lập tức tách rời khi thao tác này bắt đầu giao diện người dùng.

    Trước tiên, bạn nên kiểm tra xem mình đã nhận được phản hồi hay chưa. Đăng nhập bằng phương thức này, Hoạt động của bạn sẽ được đặt ở chế độ nền, tức là hệ thống có thể thu hồi trong quy trình đăng nhập. Để làm cho đảm bảo rằng bạn không yêu cầu người dùng thử lại nếu điều này xảy ra, bạn nên kiểm tra xem đã có kết quả hay chưa.

    Để kiểm tra xem có kết quả đang chờ xử lý hay không, hãy gọi getPendingAuthResult():

    Kotlin+KTX

    val pending = auth.pendingAuthResult
    if (pending != null) {
        pending.addOnSuccessListener { authResult ->
            Log.d(TAG, "checkPending:onSuccess:$authResult")
            // Get the user profile with authResult.getUser() and
            // authResult.getAdditionalUserInfo(), and the ID
            // token from Apple with authResult.getCredential().
        }.addOnFailureListener { e ->
            Log.w(TAG, "checkPending:onFailure", e)
        }
    } else {
        Log.d(TAG, "pending: null")
    }
    

    Java

    mAuth = FirebaseAuth.getInstance();
    Task<AuthResult> pending = mAuth.getPendingAuthResult();
    if (pending != null) {
        pending.addOnSuccessListener(new OnSuccessListener<AuthResult>() {
            @Override
            public void onSuccess(AuthResult authResult) {
                Log.d(TAG, "checkPending:onSuccess:" + authResult);
                // Get the user profile with authResult.getUser() and
                // authResult.getAdditionalUserInfo(), and the ID
                // token from Apple with authResult.getCredential().
            }
        }).addOnFailureListener(new OnFailureListener() {
            @Override
            public void onFailure(@NonNull Exception e) {
                Log.w(TAG, "checkPending:onFailure", e);
            }
        });
    } else {
        Log.d(TAG, "pending: null");
    }
    

    Nếu không có kết quả đang chờ xử lý, hãy bắt đầu quy trình đăng nhập bằng cách gọi startActivityForSignInWithProvider():

    Kotlin+KTX

    auth.startActivityForSignInWithProvider(this, provider.build())
            .addOnSuccessListener { authResult ->
                // Sign-in successful!
                Log.d(TAG, "activitySignIn:onSuccess:${authResult.user}")
                val user = authResult.user
                // ...
            }
            .addOnFailureListener { e ->
                Log.w(TAG, "activitySignIn:onFailure", e)
            }
    

    Java

    mAuth.startActivityForSignInWithProvider(this, provider.build())
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // Sign-in successful!
                            Log.d(TAG, "activitySignIn:onSuccess:" + authResult.getUser());
                            FirebaseUser user = authResult.getUser();
                            // ...
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            Log.w(TAG, "activitySignIn:onFailure", e);
                        }
                    });
    

    Không giống như các nhà cung cấp khác được tính năng Xác thực Firebase hỗ trợ, Apple không cung cấp URL ảnh.

    Ngoài ra, khi người dùng chọn không chia sẻ email của họ với ứng dụng, Apple cấp một địa chỉ email duy nhất cho người dùng đó (theo biểu mẫu xyz@privaterelay.appleid.com) mà hệ thống này chia sẻ với ứng dụng của bạn. Nếu bạn đã định cấu hình dịch vụ chuyển tiếp email riêng tư, Apple chuyển tiếp các email được gửi đến địa chỉ ẩn danh sang địa chỉ email thực của người dùng.

    Apple chỉ chia sẻ thông tin người dùng (chẳng hạn như tên hiển thị) với các ứng dụng khi người dùng đăng nhập lần đầu tiên. Thông thường, Firebase lưu trữ tên hiển thị lần đầu tiên người dùng đăng nhập bằng Apple. Bạn có thể tải tính năng này bằng getCurrentUser().getDisplayName(). Tuy nhiên, nếu trước đây bạn đã sử dụng Apple để đăng nhập người dùng vào ứng dụng mà không bằng cách sử dụng Firebase, Apple sẽ không cung cấp cho Firebase hiển thị .

Xác thực lại và liên kết tài khoản

Bạn có thể dùng cùng một mẫu cho startActivityForReauthenticateWithProvider() mà bạn có thể dùng để truy xuất thông tin đăng nhập mới cho các hoạt động nhạy cảm yêu cầu đăng nhập gần đây:

Kotlin+KTX

// The user is already signed-in.
val firebaseUser = auth.getCurrentUser()

firebaseUser
    .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
    .addOnSuccessListener( authResult -> {
        // User is re-authenticated with fresh tokens and
        // should be able to perform sensitive operations
        // like account deletion and email or password
        // update.
    })
    .addOnFailureListener( e -> {
        // Handle failure.
    })

Java

// The user is already signed-in.
FirebaseUser firebaseUser = mAuth.getCurrentUser();

firebaseUser
    .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
    .addOnSuccessListener(
        new OnSuccessListener<AuthResult>() {
          @Override
          public void onSuccess(AuthResult authResult) {
            // User is re-authenticated with fresh tokens and
            // should be able to perform sensitive operations
            // like account deletion and email or password
            // update.
          }
        })
    .addOnFailureListener(
        new OnFailureListener() {
          @Override
          public void onFailure(@NonNull Exception e) {
            // Handle failure.
          }
        });

Ngoài ra, bạn có thể sử dụng linkWithCredential() để liên kết nhiều nhà cung cấp danh tính với tài khoản hiện có.

Xin lưu ý rằng Apple yêu cầu bạn phải được người dùng đồng ý rõ ràng trước khi liên kết tài khoản Apple của họ sang các dữ liệu khác.

Ví dụ: để liên kết tài khoản Facebook với tài khoản Firebase hiện tại, hãy sử dụng mã truy cập mà bạn nhận được từ việc đăng nhập người dùng vào Facebook:

Kotlin+KTX

// Initialize a Facebook credential with a Facebook access token.
val credential = FacebookAuthProvider.getCredential(token.getToken())

// Assuming the current user is an Apple user linking a Facebook provider.
mAuth.getCurrentUser().linkWithCredential(credential)
    .addOnCompleteListener(this, task -> {
        if (task.isSuccessful()) {
          // Facebook credential is linked to the current Apple user.
          // The user can now sign in to the same account
          // with either Apple or Facebook.
        }
      });

Java

// Initialize a Facebook credential with a Facebook access token.
AuthCredential credential = FacebookAuthProvider.getCredential(token.getToken());

// Assuming the current user is an Apple user linking a Facebook provider.
mAuth.getCurrentUser().linkWithCredential(credential)
    .addOnCompleteListener(this, new OnCompleteListener<AuthResult>() {
      @Override
      public void onComplete(@NonNull Task<AuthResult> task) {
        if (task.isSuccessful()) {
          // Facebook credential is linked to the current Apple user.
          // The user can now sign in to the same account
          // with either Apple or Facebook.
        }
      }
    });

Nâng cao: Xử lý quy trình đăng nhập theo cách thủ công

Bạn cũng có thể xác thực bằng Firebase bằng Tài khoản Apple bằng cách xử lý quy trình đăng nhập bằng cách sử dụng SDK JS Đăng nhập của Apple, tạo thủ công Quy trình OAuth hoặc thông qua một thư viện OAuth, chẳng hạn như AppAuth.

  1. Đối với mỗi yêu cầu đăng nhập, hãy tạo một chuỗi ngẫu nhiên — một "nonce" – bạn sẽ sử dụng phương thức này để đảm bảo mã thông báo nhận dạng mà bạn nhận được là được cấp riêng theo yêu cầu xác thực của ứng dụng. Chiến dịch này là rất quan trọng để ngăn chặn các cuộc tấn công phát lại.

    Bạn có thể tạo một số chỉ dùng một lần được mã hoá bảo mật trên Android bằng SecureRandom, như trong ví dụ sau:

    Kotlin+KTX

    private fun generateNonce(length: Int): String {
        val generator = SecureRandom()
    
        val charsetDecoder = StandardCharsets.US_ASCII.newDecoder()
        charsetDecoder.onUnmappableCharacter(CodingErrorAction.IGNORE)
        charsetDecoder.onMalformedInput(CodingErrorAction.IGNORE)
    
        val bytes = ByteArray(length)
        val inBuffer = ByteBuffer.wrap(bytes)
        val outBuffer = CharBuffer.allocate(length)
        while (outBuffer.hasRemaining()) {
            generator.nextBytes(bytes)
            inBuffer.rewind()
            charsetDecoder.reset()
            charsetDecoder.decode(inBuffer, outBuffer, false)
        }
        outBuffer.flip()
        return outBuffer.toString()
    }
    

    Java

    private String generateNonce(int length) {
        SecureRandom generator = new SecureRandom();
    
        CharsetDecoder charsetDecoder = StandardCharsets.US_ASCII.newDecoder();
        charsetDecoder.onUnmappableCharacter(CodingErrorAction.IGNORE);
        charsetDecoder.onMalformedInput(CodingErrorAction.IGNORE);
    
        byte[] bytes = new byte[length];
        ByteBuffer inBuffer = ByteBuffer.wrap(bytes);
        CharBuffer outBuffer = CharBuffer.allocate(length);
        while (outBuffer.hasRemaining()) {
            generator.nextBytes(bytes);
            inBuffer.rewind();
            charsetDecoder.reset();
            charsetDecoder.decode(inBuffer, outBuffer, false);
        }
        outBuffer.flip();
        return outBuffer.toString();
    }
    

    Sau đó, hãy lấy hàm băm SHA246 của số chỉ dùng một lần dưới dạng chuỗi hex:

    Kotlin+KTX

    private fun sha256(s: String): String {
        val md = MessageDigest.getInstance("SHA-256")
        val digest = md.digest(s.toByteArray())
        val hash = StringBuilder()
        for (c in digest) {
            hash.append(String.format("%02x", c))
        }
        return hash.toString()
    }
    

    Java

    private String sha256(String s) throws NoSuchAlgorithmException {
        MessageDigest md = MessageDigest.getInstance("SHA-256");
        byte[] digest = md.digest(s.getBytes());
        StringBuilder hash = new StringBuilder();
        for (byte c: digest) {
            hash.append(String.format("%02x", c));
        }
        return hash.toString();
    }
    

    Bạn sẽ gửi hàm băm SHA256 của số chỉ dùng một lần cùng với yêu cầu đăng nhập. Apple sẽ truyền không thay đổi trong phản hồi. Firebase xác thực phản hồi bằng cách băm số chỉ dùng một lần ban đầu rồi so sánh với giá trị mà Apple chuyển qua.

  2. Bắt đầu quy trình đăng nhập của Apple bằng thư viện OAuth hoặc phương thức khác. Hãy hãy nhớ thêm số chỉ dùng một lần đã băm dưới dạng thông số trong yêu cầu của bạn.

  3. Sau khi bạn nhận được phản hồi của Apple, hãy lấy mã thông báo mã nhận dạng trong phản hồi đó và hãy sử dụng hàm này và số chỉ dùng một lần chưa băm để tạo một AuthCredential:

    Kotlin+KTX

    val credential =  OAuthProvider.newCredentialBuilder("apple.com")
        .setIdTokenWithRawNonce(appleIdToken, rawUnhashedNonce)
        .build()
    

    Java

    AuthCredential credential =  OAuthProvider.newCredentialBuilder("apple.com")
        .setIdTokenWithRawNonce(appleIdToken, rawUnhashedNonce)
        .build();
    
  4. Xác thực bằng Firebase bằng thông tin đăng nhập Firebase:

    Kotlin+KTX

    auth.signInWithCredential(credential)
          .addOnCompleteListener(this) { task ->
              if (task.isSuccessful) {
                // User successfully signed in with Apple ID token.
                // ...
              }
          }
    

    Java

    mAuth.signInWithCredential(credential)
        .addOnCompleteListener(this, new OnCompleteListener<AuthResult>() {
          @Override
          public void onComplete(@NonNull Task<AuthResult> task) {
            if (task.isSuccessful()) {
              // User successfully signed in with Apple ID token.
              // ...
            }
          }
        });
    

Nếu lệnh gọi đến signInWithCredential thành công, bạn có thể sử dụng getCurrentUser để lấy dữ liệu tài khoản của người dùng.

Thu hồi mã thông báo

Apple yêu cầu các ứng dụng hỗ trợ tạo tài khoản phải cho phép người dùng bắt đầu xoá tài khoản của họ trong ứng dụng, như mô tả trong phần Bài đánh giá của cửa hàng ứng dụng Nguyên tắc

Ngoài ra, các ứng dụng hỗ trợ tính năng Đăng nhập bằng Apple nên sử dụng tính năng Đăng nhập bằng Apple API REST để thu hồi mã thông báo của người dùng.

Để đáp ứng yêu cầu này, hãy triển khai các bước sau:

  1. Sử dụng phương thức startActivityForSignInWithProvider() để đăng nhập bằng Apple và lấy AuthResult.

  2. Lấy mã truy cập cho nhà cung cấp Apple.

    Kotlin+KTX

    val oauthCredential: OAuthCredential =  authResult.credential
    val accessToken = oauthCredential.accessToken
    

    Java

    OAuthCredential oauthCredential = (OAuthCredential) authResult.getCredential();
    String accessToken = oauthCredential.getAccessToken();
    
  3. Thu hồi mã thông báo bằng API revokeAccessToken.

    Kotlin+KTX

    mAuth.revokeAccessToken(accessToken)
      .addOnCompleteListener(this) { task ->
        if (task.isSuccessful) {
          // Access token successfully revoked
          // for the user ...
        }
    }
    

    Java

    mAuth.revokeAccessToken(accessToken)
        .addOnCompleteListener(this, new OnCompleteListener<Void>() {
            @Override
            public void onComplete(@NonNull Task<Void> task) {
              if (task.isSuccessful()) {
                // Access token successfully revoked
                // for the user ...
              }
            }
      });
    
  1. Cuối cùng, hãy xoá tài khoản người dùng (và tất cả dữ liệu liên quan)

    Các bước tiếp theo

    Sau khi người dùng đăng nhập lần đầu tiên, một tài khoản người dùng mới sẽ được tạo và được liên kết với thông tin đăng nhập—tức là tên người dùng và mật khẩu, số điện thoại số hoặc thông tin của nhà cung cấp dịch vụ xác thực – người dùng đã đăng nhập. Thông tin mới này được lưu trữ như một phần của dự án Firebase và có thể được dùng để xác định một người dùng trên mọi ứng dụng trong dự án của bạn, bất kể người dùng đăng nhập bằng cách nào.

    • Trong ứng dụng của mình, bạn có thể lấy thông tin hồ sơ cơ bản của người dùng từ Đối tượng FirebaseUser. Xem Quản lý người dùng.

    • Trong Firebase Realtime DatabaseCloud Storage của bạn Quy tắc bảo mật, bạn có thể lấy mã nhận dạng người dùng duy nhất của người dùng đã đăng nhập từ biến auth, để kiểm soát loại dữ liệu mà người dùng có thể truy cập.

    Bạn có thể cho phép người dùng đăng nhập vào ứng dụng của mình bằng nhiều phương thức xác thực bằng cách liên kết thông tin đăng nhập của nhà cung cấp dịch vụ xác thực với tài khoản người dùng hiện có.

    Để đăng xuất một người dùng, hãy gọi signOut:

    Kotlin+KTX

    Firebase.auth.signOut()

    Java

    FirebaseAuth.getInstance().signOut();