Wenn Sie mit Identity Platform auf Firebase Authentication aktualisiert haben, können Sie Ihre Benutzer bei Firebase über den OpenID Connect (OIDC)-kompatiblen Anbieter Ihrer Wahl authentifizieren. Dadurch ist es möglich, Identitätsanbieter zu verwenden, die von Firebase nicht nativ unterstützt werden.
Bevor Sie beginnen
Um Benutzer über einen OIDC-Anbieter anzumelden, müssen Sie zunächst einige Informationen vom Anbieter sammeln:
Client-ID : Eine für den Anbieter eindeutige Zeichenfolge, die Ihre App identifiziert. Ihr Anbieter weist Ihnen möglicherweise für jede von Ihnen unterstützte Plattform eine andere Client-ID zu. Dies ist einer der Werte des
audAnspruchs in ID-Tokens, die von Ihrem Anbieter ausgegeben werden.Client-Geheimnis : Eine geheime Zeichenfolge, die der Anbieter verwendet, um den Besitz einer Client-ID zu bestätigen. Für jede Client-ID benötigen Sie ein passendes Client-Geheimnis. (Dieser Wert ist nur erforderlich, wenn Sie den Authentifizierungscode-Flow verwenden, was dringend empfohlen wird.)
Aussteller : Eine Zeichenfolge, die Ihren Anbieter identifiziert. Dieser Wert muss eine URL sein, die, wenn sie mit
/.well-known/openid-configurationangehängt wird, den Speicherort des OIDC-Erkennungsdokuments des Anbieters angibt. Wenn der Aussteller beispielsweisehttps://auth.example.comist, muss das Erkennungsdokument unterhttps://auth.example.com/.well-known/openid-configurationverfügbar sein.
Nachdem Sie über die oben genannten Informationen verfügen, aktivieren Sie OpenID Connect als Anmeldeanbieter für Ihr Firebase-Projekt:
Wenn Sie noch kein Upgrade auf Firebase Authentication mit Identity Platform durchgeführt haben, tun Sie dies. Die OpenID Connect-Authentifizierung ist nur in aktualisierten Projekten verfügbar.
Klicken Sie auf der Seite „Anmeldeanbieter“ der Firebase-Konsole auf Neuen Anbieter hinzufügen und dann auf OpenID Connect .
Wählen Sie aus, ob Sie den Autorisierungscode-Flow oder den impliziten Grant-Flow verwenden möchten.
Sie sollten immer den Codefluss verwenden, wenn Ihr Anbieter dies unterstützt . Der implizite Fluss ist weniger sicher und von seiner Verwendung wird dringend abgeraten.
Geben Sie diesem Anbieter einen Namen. Beachten Sie die generierte Anbieter-ID: etwa
oidc.example-provider. Sie benötigen diese ID, wenn Sie Ihrer App einen Anmeldecode hinzufügen.Geben Sie Ihre Client-ID und Ihr Client-Geheimnis sowie die Ausstellerzeichenfolge Ihres Anbieters an. Diese Werte müssen genau mit den Werten übereinstimmen, die Ihnen Ihr Provider zugewiesen hat.
Speichern Sie Ihre Änderungen.
Behandeln Sie den Anmeldevorgang mit dem Firebase SDK
Wenn Sie eine Android-App erstellen, besteht die einfachste Möglichkeit zur Authentifizierung Ihrer Benutzer bei Firebase mithilfe Ihres OIDC-Anbieters darin, den gesamten Anmeldevorgang mit dem Firebase Android SDK abzuwickeln.
Führen Sie die folgenden Schritte aus, um den Anmeldevorgang mit dem Firebase Android SDK zu verwalten:
Erstellen Sie eine Instanz eines OAuthProviders mithilfe seines Builders mit der ID des Anbieters
Kotlin+KTX
val providerBuilder = OAuthProvider.newBuilder("oidc.example-provider")Java
OAuthProvider.Builder providerBuilder = OAuthProvider.newBuilder("oidc.example-provider");Optional : Geben Sie zusätzliche benutzerdefinierte OAuth-Parameter an, die Sie mit der OAuth-Anfrage senden möchten.
Kotlin+KTX
// Target specific email with login hint. providerBuilder.addCustomParameter("login_hint", "user@example.com")Java
// Target specific email with login hint. providerBuilder.addCustomParameter("login_hint", "user@example.com");Erkundigen Sie sich bei Ihrem OIDC-Anbieter nach den von ihm unterstützten Parametern. Beachten Sie, dass Sie mit
setCustomParameters()keine für Firebase erforderlichen Parameter übergeben können. Diese Parameter sind client_id , Response_type , Redirect_uri , State , Scope und Response_mode .Optional : Geben Sie über das Basisprofil hinaus zusätzliche OAuth 2.0-Bereiche an, die Sie vom Authentifizierungsanbieter anfordern möchten.
Kotlin+KTX
// Request read access to a user's email addresses. // This must be preconfigured in the app's API permissions. providerBuilder.scopes = listOf("mail.read", "calendars.read")Java
// Request read access to a user's email addresses. // This must be preconfigured in the app's API permissions. List<String> scopes = new ArrayList<String>() { { add("mail.read"); add("calendars.read"); } }; providerBuilder.setScopes(scopes);Erkundigen Sie sich bei Ihrem OIDC-Anbieter nach den von ihm verwendeten Bereichen.
Authentifizieren Sie sich bei Firebase mithilfe des OAuth-Anbieterobjekts. Beachten Sie, dass dies im Gegensatz zu anderen FirebaseAuth-Vorgängen die Kontrolle über Ihre Benutzeroberfläche übernimmt, indem ein benutzerdefinierter Chrome-Tab angezeigt wird. Verweisen Sie daher nicht auf Ihre Aktivität im
OnSuccessListenerundOnFailureListener, die Sie anhängen, da diese sofort getrennt werden, wenn der Vorgang die Benutzeroberfläche startet.Sie sollten zunächst prüfen, ob Sie bereits eine Antwort erhalten haben. Wenn Sie sich mit dieser Methode anmelden, wird Ihre Aktivität in den Hintergrund verschoben, was bedeutet, dass sie während des Anmeldevorgangs vom System wiederhergestellt werden kann. Um sicherzustellen, dass Sie den Benutzer in diesem Fall nicht dazu zwingen, es noch einmal zu versuchen, sollten Sie prüfen, ob bereits ein Ergebnis vorliegt.
Um zu überprüfen, ob ein Ergebnis aussteht, rufen Sie
getPendingAuthResultauf:Kotlin+KTX
val pendingResultTask = firebaseAuth.pendingAuthResult if (pendingResultTask != null) { // There's something already here! Finish the sign-in for your user. pendingResultTask .addOnSuccessListener { // User is signed in. // IdP data available in // authResult.getAdditionalUserInfo().getProfile(). // The OAuth access token can also be retrieved: // ((OAuthCredential)authResult.getCredential()).getAccessToken(). // The OAuth secret can be retrieved by calling: // ((OAuthCredential)authResult.getCredential()).getSecret(). } .addOnFailureListener { // Handle failure. } } else { // There's no pending result so you need to start the sign-in flow. // See below. }Java
Task<AuthResult> pendingResultTask = firebaseAuth.getPendingAuthResult(); if (pendingResultTask != null) { // There's something already here! Finish the sign-in for your user. pendingResultTask .addOnSuccessListener( new OnSuccessListener<AuthResult>() { @Override public void onSuccess(AuthResult authResult) { // User is signed in. // IdP data available in // authResult.getAdditionalUserInfo().getProfile(). // The OAuth access token can also be retrieved: // ((OAuthCredential)authResult.getCredential()).getAccessToken(). // The OAuth secret can be retrieved by calling: // ((OAuthCredential)authResult.getCredential()).getSecret(). } }) .addOnFailureListener( new OnFailureListener() { @Override public void onFailure(@NonNull Exception e) { // Handle failure. } }); } else { // There's no pending result so you need to start the sign-in flow. // See below. }Um den Anmeldevorgang zu starten, rufen Sie
startActivityForSignInWithProviderauf:Kotlin+KTX
firebaseAuth .startActivityForSignInWithProvider(activity, provider.build()) .addOnSuccessListener { // User is signed in. // IdP data available in // authResult.getAdditionalUserInfo().getProfile(). // The OAuth access token can also be retrieved: // ((OAuthCredential)authResult.getCredential()).getAccessToken(). // The OAuth secret can be retrieved by calling: // ((OAuthCredential)authResult.getCredential()).getSecret(). } .addOnFailureListener { // Handle failure. }Java
firebaseAuth .startActivityForSignInWithProvider(/* activity= */ this, provider.build()) .addOnSuccessListener( new OnSuccessListener<AuthResult>() { @Override public void onSuccess(AuthResult authResult) { // User is signed in. // IdP data available in // authResult.getAdditionalUserInfo().getProfile(). // The OAuth access token can also be retrieved: // ((OAuthCredential)authResult.getCredential()).getAccessToken(). // The OAuth secret can be retrieved by calling: // ((OAuthCredential)authResult.getCredential()).getSecret(). } }) .addOnFailureListener( new OnFailureListener() { @Override public void onFailure(@NonNull Exception e) { // Handle failure. } });Während sich die obigen Beispiele auf Anmeldeabläufe konzentrieren, haben Sie auch die Möglichkeit, einen OIDC-Anbieter mithilfe von
startActivityForLinkWithProvidermit einem vorhandenen Benutzer zu verknüpfen. Sie können beispielsweise mehrere Anbieter mit demselben Benutzer verknüpfen, sodass sich diese bei beiden anmelden können.Kotlin+KTX
// The user is already signed-in. val firebaseUser = firebaseAuth.currentUser!! firebaseUser .startActivityForLinkWithProvider(activity, provider.build()) .addOnSuccessListener { // Provider credential is linked to the current user. // IdP data available in // authResult.getAdditionalUserInfo().getProfile(). // The OAuth access token can also be retrieved: // authResult.getCredential().getAccessToken(). // The OAuth secret can be retrieved by calling: // authResult.getCredential().getSecret(). } .addOnFailureListener { // Handle failure. }Java
// The user is already signed-in. FirebaseUser firebaseUser = firebaseAuth.getCurrentUser(); firebaseUser .startActivityForLinkWithProvider(/* activity= */ this, provider.build()) .addOnSuccessListener( new OnSuccessListener<AuthResult>() { @Override public void onSuccess(AuthResult authResult) { // Provider credential is linked to the current user. // IdP data available in // authResult.getAdditionalUserInfo().getProfile(). // The OAuth access token can also be retrieved: // authResult.getCredential().getAccessToken(). // The OAuth secret can be retrieved by calling: // authResult.getCredential().getSecret(). } }) .addOnFailureListener( new OnFailureListener() { @Override public void onFailure(@NonNull Exception e) { // Handle failure. } });Das gleiche Muster kann mit
startActivityForReauthenticateWithProviderverwendet werden, das zum Abrufen neuer Anmeldeinformationen für vertrauliche Vorgänge verwendet werden kann, die eine kürzliche Anmeldung erfordern.Kotlin+KTX
// The user is already signed-in. val firebaseUser = firebaseAuth.currentUser!! firebaseUser .startActivityForReauthenticateWithProvider(activity, provider.build()) .addOnSuccessListener { // User is re-authenticated with fresh tokens and // should be able to perform sensitive operations // like account deletion and email or password // update. } .addOnFailureListener { // Handle failure. }Java
// The user is already signed-in. FirebaseUser firebaseUser = firebaseAuth.getCurrentUser(); firebaseUser .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build()) .addOnSuccessListener( new OnSuccessListener<AuthResult>() { @Override public void onSuccess(AuthResult authResult) { // User is re-authenticated with fresh tokens and // should be able to perform sensitive operations // like account deletion and email or password // update. } }) .addOnFailureListener( new OnFailureListener() { @Override public void onFailure(@NonNull Exception e) { // Handle failure. } });
Behandeln Sie den Anmeldevorgang manuell
Wenn Sie den OpenID Connect-Anmeldeablauf bereits in Ihrer App implementiert haben, können Sie das ID-Token direkt zur Authentifizierung bei Firebase verwenden:
Kotlin+KTX
val providerId = "oidc.example-provider" // As registered in Firebase console.
val credential = oAuthCredential(providerId) {
setIdToken(idToken) // ID token from OpenID Connect flow.
}
Firebase.auth
.signInWithCredential(credential)
.addOnSuccessListener { authResult ->
// User is signed in.
// IdP data available in:
// authResult.additionalUserInfo.profile
}
.addOnFailureListener { e ->
// Handle failure.
}Java
AuthCredential credential = OAuthProvider
.newCredentialBuilder("oidc.example-provider") // As registered in Firebase console.
.setIdToken(idToken) // ID token from OpenID Connect flow.
.build();
FirebaseAuth.getInstance()
.signInWithCredential(credential)
.addOnSuccessListener(new OnSuccessListener<AuthResult>() {
@Override
public void onSuccess(AuthResult authResult) {
// User is signed in.
// IdP data available in:
// authResult.getAdditionalUserInfo().getProfile()
}
})
.addOnFailureListener(new OnFailureListener() {
@Override
public void onFailure(@NonNull Exception e) {
// Handle failure.
}
});Nächste Schritte
Nachdem sich ein Benutzer zum ersten Mal angemeldet hat, wird ein neues Benutzerkonto erstellt und mit den Anmeldeinformationen – also dem Benutzernamen und dem Kennwort, der Telefonnummer oder den Informationen zum Authentifizierungsanbieter – verknüpft, mit denen sich der Benutzer angemeldet hat. Dieses neue Konto wird als Teil Ihres Firebase-Projekts gespeichert und kann zur Identifizierung eines Benutzers in jeder App in Ihrem Projekt verwendet werden, unabhängig davon, wie sich der Benutzer anmeldet.
In Ihren Apps können Sie die grundlegenden Profilinformationen des Benutzers aus dem
FirebaseUserObjekt abrufen. Siehe Benutzer verwalten .In Ihren Firebase-Echtzeitdatenbank- und Cloud-Speicher- Sicherheitsregeln können Sie die eindeutige Benutzer-ID des angemeldeten Benutzers aus der
authabrufen und damit steuern, auf welche Daten ein Benutzer zugreifen kann.
Sie können Benutzern die Anmeldung bei Ihrer App mit mehreren Authentifizierungsanbietern ermöglichen, indem Sie die Anmeldeinformationen des Authentifizierungsanbieters mit einem vorhandenen Benutzerkonto verknüpfen.
Um einen Benutzer abzumelden, rufen Sie signOut auf:
Kotlin+KTX
Firebase.auth.signOut()
Java
FirebaseAuth.getInstance().signOut();