在 Android 上使用 OpenID Connect 進行驗證

如果您已升級至 Firebase Authentication with Identity Platform,可以透過下列方法驗證使用者: 使用符合 OpenID Connect (OIDC) 規定的供應商做為 Firebase。這個 能讓您使用 Firebase 未原生支援的識別資訊提供者。

事前準備

如要透過 OIDC 提供者登入使用者,您必須先收集一些資訊 提供者:

  • Client-ID:供應商專用的字串,用於識別您的應用程式。您的 供應商可能會為您支援的每個平台指派不同的用戶端 ID。 這是 aud 憑證附加資訊的其中一個值 (由您的 。

  • 用戶端密鑰:供應商用來確認擁有權的密鑰字串 字串。每個用戶端 ID 都需要相符的用戶端密鑰。 (只有在使用授權碼流程時,才需要這個值, )

  • 核發者:可識別供應器的字串。這個值必須是網址 附加 /.well-known/openid-configuration 後 。舉例來說,如果發卡機構 https://auth.example.com,探索文件必須在以下位置提供: https://auth.example.com/.well-known/openid-configuration

備妥上述資訊後,請在登入時啟用 OpenID Connect 為 Firebase 專案提供供應商:

  1. 將 Firebase 新增至您的 Android 專案

  2. 如果您尚未升級至 Firebase Authentication with Identity Platform,請進行更新。OpenID Connect 驗證 僅適用於已升級的專案。

  3. 登入供應商頁面 在 Firebase 控制台的頁面中,依序點選「新增供應商」OpenID Connect

  4. 選取要使用授權碼流程還是 隱含授權流程

    如果供應商支援程式碼流程,建議您一律使用程式碼流程。 隱含流程的安全性較低,強烈建議不要使用。

  5. 為這個供應商命名。記下產生的提供者 ID: 例如 oidc.example-provider。新增 登入程式碼

  6. 指定您的用戶端 ID 和用戶端密鑰,以及供應商的核發者字串。 這些值必須與供應商指派給您的值完全相符。

  7. 儲存變更。

使用 Firebase SDK 處理登入流程

如要建構 Android 應用程式,最簡單的使用者驗證方式 登入 Firebase,即可透過 OIDC 供應商執行完整的登入流程。 Firebase Android SDK。

如要使用 Firebase Android SDK 處理登入流程,請按照下列步驟操作:

  1. 使用其 建構工具,使用其 OAuthProvider 實例。 供應商 ID

    Kotlin+KTX 

    val providerBuilder = OAuthProvider.newBuilder("oidc.example-provider")
    GenericIdpActivity.kt

    Java 

    OAuthProvider.Builder providerBuilder = OAuthProvider.newBuilder("oidc.example-provider");
    GenericIdpActivity.java

  2. 選用:指定您想要的其他自訂 OAuth 參數。 與 OAuth 要求一起傳送

    Kotlin+KTX 

    // Target specific email with login hint.
providerBuilder.addCustomParameter("login_hint", "user@example.com")
    GenericIdpActivity.kt

    Java 

    // Target specific email with login hint.
providerBuilder.addCustomParameter("login_hint", "user@example.com");
    GenericIdpActivity.java

    如要瞭解 OIDC 供應商支援的參數,請洽詢 OIDC 供應商。 請注意,您無法透過 setCustomParameters()。這些參數都是 client_id response_typeredirect_uristatescoperesponse_mode

  3. 選用:指定基本設定檔以外的其他 OAuth 2.0 範圍, 設為要向驗證服務供應商發出要求

    Kotlin+KTX 

    // Request read access to a user's email addresses.
// This must be preconfigured in the app's API permissions.
providerBuilder.scopes = listOf("mail.read", "calendars.read")
    GenericIdpActivity.kt

    Java 

    // Request read access to a user's email addresses.
// This must be preconfigured in the app's API permissions.
List<String> scopes =
        new ArrayList<String>() {
            {
                add("mail.read");
                add("calendars.read");
            }
        };
providerBuilder.setScopes(scopes);
    GenericIdpActivity.java

    如要瞭解供應商使用的範圍,請洽詢 OIDC 供應商。

  4. 使用 OAuth 提供者物件向 Firebase 進行驗證。請注意,這不像 其他 FirebaseAuth 作業,系統會彈出 自訂 Chrome 分頁。 因此,請勿在 OnSuccessListener 中參照活動 以及您附加的 OnFailureListener。這些容器會在 作業就會啟動 UI

    請先檢查是否已收到回覆。目前登入身分 此方法會將活動置於背景,也就是說, 卻是由系統回收。為了確保 如果遇到這種情形,請不要讓使用者再試一次 結果已經存在

    如要查看是否有待處理的結果,請呼叫 getPendingAuthResult

    Kotlin+KTX 

    val pendingResultTask = firebaseAuth.pendingAuthResult
if (pendingResultTask != null) {
    // There's something already here! Finish the sign-in for your user.
    pendingResultTask
        .addOnSuccessListener {
            // User is signed in.
            // IdP data available in
            // authResult.getAdditionalUserInfo().getProfile().
            // The OAuth access token can also be retrieved:
            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
            // The OAuth secret can be retrieved by calling:
            // ((OAuthCredential)authResult.getCredential()).getSecret().
        }
        .addOnFailureListener {
            // Handle failure.
        }
} else {
    // There's no pending result so you need to start the sign-in flow.
    // See below.
}
    GenericIdpActivity.kt

    Java 

    Task<AuthResult> pendingResultTask = firebaseAuth.getPendingAuthResult();
if (pendingResultTask != null) {
    // There's something already here! Finish the sign-in for your user.
    pendingResultTask
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // User is signed in.
                            // IdP data available in
                            // authResult.getAdditionalUserInfo().getProfile().
                            // The OAuth access token can also be retrieved:
                            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                            // The OAuth secret can be retrieved by calling:
                            // ((OAuthCredential)authResult.getCredential()).getSecret().
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });
} else {
    // There's no pending result so you need to start the sign-in flow.
    // See below.
}
    GenericIdpActivity.java

    如要啟動登入流程,請呼叫 startActivityForSignInWithProvider

    Kotlin+KTX 

    firebaseAuth
    .startActivityForSignInWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // User is signed in.
        // IdP data available in
        // authResult.getAdditionalUserInfo().getProfile().
        // The OAuth access token can also be retrieved:
        // ((OAuthCredential)authResult.getCredential()).getAccessToken().
        // The OAuth secret can be retrieved by calling:
        // ((OAuthCredential)authResult.getCredential()).getSecret().
    }
    .addOnFailureListener {
        // Handle failure.
    }
    GenericIdpActivity.kt

    Java 

    firebaseAuth
        .startActivityForSignInWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // User is signed in.
                        // IdP data available in
                        // authResult.getAdditionalUserInfo().getProfile().
                        // The OAuth access token can also be retrieved:
                        // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                        // The OAuth secret can be retrieved by calling:
                        // ((OAuthCredential)authResult.getCredential()).getSecret().
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });
    GenericIdpActivity.java

  5. 以上範例著重登入流程,不過您可以 能讓您使用 startActivityForLinkWithProvider。舉例來說 以便將兩者登入

    Kotlin+KTX 

    // The user is already signed-in.
val firebaseUser = firebaseAuth.currentUser!!
firebaseUser
    .startActivityForLinkWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // Provider credential is linked to the current user.
        // IdP data available in
        // authResult.getAdditionalUserInfo().getProfile().
        // The OAuth access token can also be retrieved:
        // authResult.getCredential().getAccessToken().
        // The OAuth secret can be retrieved by calling:
        // authResult.getCredential().getSecret().
    }
    .addOnFailureListener {
        // Handle failure.
    }
    GenericIdpActivity.kt

    Java 

    // The user is already signed-in.
FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();

firebaseUser
        .startActivityForLinkWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // Provider credential is linked to the current user.
                        // IdP data available in
                        // authResult.getAdditionalUserInfo().getProfile().
                        // The OAuth access token can also be retrieved:
                        // authResult.getCredential().getAccessToken().
                        // The OAuth secret can be retrieved by calling:
                        // authResult.getCredential().getSecret().
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });
    GenericIdpActivity.java

  6. 相同的模式 startActivityForReauthenticateWithProvider,可用來擷取 為需要近期登入的敏感作業提供新的憑證。

    Kotlin+KTX 

    // The user is already signed-in.
val firebaseUser = firebaseAuth.currentUser!!
firebaseUser
    .startActivityForReauthenticateWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // User is re-authenticated with fresh tokens and
        // should be able to perform sensitive operations
        // like account deletion and email or password
        // update.
    }
    .addOnFailureListener {
        // Handle failure.
    }
    GenericIdpActivity.kt

    Java 

    // The user is already signed-in.
FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();

firebaseUser
        .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // User is re-authenticated with fresh tokens and
                        // should be able to perform sensitive operations
                        // like account deletion and email or password
                        // update.
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });
    GenericIdpActivity.java

手動處理登入流程

如果應用程式已實作 OpenID Connect 登入流程, 可以直接使用 ID 權杖向 Firebase 進行驗證:

Kotlin+KTX 

val providerId = "oidc.example-provider" // As registered in Firebase console.
val credential = oAuthCredential(providerId) {
    setIdToken(idToken) // ID token from OpenID Connect flow.
}
Firebase.auth
    .signInWithCredential(credential)
    .addOnSuccessListener { authResult ->
        // User is signed in.

        // IdP data available in:
        //    authResult.additionalUserInfo.profile
    }
    .addOnFailureListener { e ->
        // Handle failure.
    }
GenericIdpActivity.kt

Java 

AuthCredential credential = OAuthProvider
        .newCredentialBuilder("oidc.example-provider")  // As registered in Firebase console.
        .setIdToken(idToken)  // ID token from OpenID Connect flow.
        .build();
FirebaseAuth.getInstance()
        .signInWithCredential(credential)
        .addOnSuccessListener(new OnSuccessListener<AuthResult>() {
            @Override
            public void onSuccess(AuthResult authResult) {
                // User is signed in.

                // IdP data available in:
                //    authResult.getAdditionalUserInfo().getProfile()
            }
        })
        .addOnFailureListener(new OnFailureListener() {
            @Override
            public void onFailure(@NonNull Exception e) {
                // Handle failure.
            }
        });
GenericIdpActivity.java

後續步驟

使用者首次登入後,系統會建立新的使用者帳戶 也就是使用者的名稱和密碼 號碼或驗證提供者資訊,也就是使用者登入時使用的網址。這項新功能 帳戶儲存為 Firebase 專案的一部分,可用來識別 即可限制使用者登入專案中的所有應用程式

  • 在您的應用程式中,您可以透過 FirebaseUser 物件。詳情請參閱 管理使用者。

  • 在你的Firebase Realtime DatabaseCloud Storage中 查看安全性規則 透過 auth 變數取得已登入使用者的不重複使用者 ID。 控管使用者可以存取的資料

您可以讓使用者透過多重驗證機制登入您的應用程式 將驗證供應商憑證連結至 現有的使用者帳戶

如要登出使用者,請呼叫 signOut

Kotlin+KTX

Firebase.auth.signOut()
MainActivity.kt

Java

FirebaseAuth.getInstance().signOut();
MainActivity.java