本頁面由 Cloud Translation API 翻譯而成。

在 Android 上使用 OpenID Connect 進行驗證

如果您已升級至 Firebase Authentication with Identity Platform，可以使用所選的 OpenID Connect (OIDC) 相容提供者，透過 Firebase 驗證使用者。這樣一來，您就能使用 Firebase 不支援的原生身分識別提供者。

事前準備

如要使用 OIDC 供應器登入使用者，您必須先向供應器收集一些資訊：

用戶端 ID：提供者專屬的字串，用於識別您的應用程式。提供者可能會為您支援的每個平台指派不同的用戶端 ID。這是供應商所發出 ID 權杖中 aud 要求的其中一個值。
用戶端密碼：供應商用來確認用戶端 ID 擁有權的密鑰字串。每個用戶端 ID 都需要對應的用戶端密鑰。(只有在您使用授權碼流程時才需要此值，我們強烈建議您使用此流程)。
Issuer：用於識別供應商的字串。這個值必須是網址，當與 /.well-known/openid-configuration 連結時，就是提供者的 OIDC 探索文件位置。舉例來說，如果發布者是 https://auth.example.com，探索文件必須位於 https://auth.example.com/.well-known/openid-configuration。

取得上述資訊後，請啟用 OpenID Connect 做為 Firebase 專案的登入服務供應器：

將 Firebase 新增至 Android 專案。
如果您尚未升級至 Firebase Authentication with Identity Platform，請先升級。OpenID Connect 驗證功能僅適用於已升級的專案。
在 Firebase 主控台的「Sign-in providers」頁面中，按一下「Add new provider」，然後點選「OpenID Connect」。
選取要使用授權碼流程或隱含授權流程。

如果供應商支援程式碼流程，您應一律使用該流程。隱含流程的安全性較低，因此強烈建議您不要使用這類流程。
為這個供應者命名。請記下系統產生的供應商 ID，例如 oidc.example-provider。在應用程式中加入登入程式碼時，您需要使用這個 ID。
指定用戶端 ID 和用戶端密碼，以及提供者的發布者字串。這些值必須與供應商指派給您的值完全相符。
儲存變更。

使用 Firebase SDK 處理登入流程

如果您要建構 Android 應用程式，使用 Firebase 和 OIDC 供應器驗證使用者最簡單的方法，就是使用 Firebase Android SDK 處理整個登入流程。

如要使用 Firebase Android SDK 處理登入流程，請按照下列步驟操作：

使用提供者 ID 的 Builder 建構 OAuthProvider 例項

Kotlin

val providerBuilder = OAuthProvider.newBuilder("oidc.example-provider")GenericIdpActivity.kt

Java

OAuthProvider.Builder providerBuilder = OAuthProvider.newBuilder("oidc.example-provider");GenericIdpActivity.java

選用：指定您要透過 OAuth 要求傳送的其他自訂 OAuth 參數。
Kotlin
```
// Target specific email with login hint.
providerBuilder.addCustomParameter("login_hint", "user@example.com")GenericIdpActivity.kt
```
Java
```
// Target specific email with login hint.
providerBuilder.addCustomParameter("login_hint", "user@example.com");GenericIdpActivity.java
```
請洽詢 OIDC 供應商，瞭解他們支援哪些參數。請注意，您無法使用 setCustomParameters() 傳遞 Firebase 必要參數。這些參數包括 client_id、response_type、redirect_uri、state、scope 和 response_mode。

選用：指定您要向驗證服務供應器要求的其他 OAuth 2.0 範圍 (除了基本設定檔)。

Kotlin

// Request read access to a user's email addresses.
// This must be preconfigured in the app's API permissions.
providerBuilder.scopes = listOf("mail.read", "calendars.read")GenericIdpActivity.kt

Java

// Request read access to a user's email addresses.
// This must be preconfigured in the app's API permissions.
List<String> scopes =
        new ArrayList<String>() {
            {
                add("mail.read");
                add("calendars.read");
            }
        };
providerBuilder.setScopes(scopes);GenericIdpActivity.java

請洽詢 OIDC 供應商，瞭解他們使用的範圍。

使用 OAuth 提供者物件與 Firebase 進行驗證。請注意，與其他 FirebaseAuth 作業不同，這項作業會透過彈出自訂 Chrome 分頁來控制 UI。因此，請勿在您附加的 OnSuccessListener 和 OnFailureListener 中參照活動，因為在作業啟動 UI 時，這兩者會立即解除連結。

請先確認你是否已收到回覆。使用這種方法登入會將活動置於背景，也就是說，系統可以在登入流程中回收活動。為避免發生這種情況，請確認是否已顯示結果，以免使用者重試。

如要檢查是否有待處理的結果，請呼叫 getPendingAuthResult：

Kotlin

val pendingResultTask = firebaseAuth.pendingAuthResult
if (pendingResultTask != null) {
    // There's something already here! Finish the sign-in for your user.
    pendingResultTask
        .addOnSuccessListener {
            // User is signed in.
            // IdP data available in
            // authResult.getAdditionalUserInfo().getProfile().
            // The OAuth access token can also be retrieved:
            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
            // The OAuth secret can be retrieved by calling:
            // ((OAuthCredential)authResult.getCredential()).getSecret().
        }
        .addOnFailureListener {
            // Handle failure.
        }
} else {
    // There's no pending result so you need to start the sign-in flow.
    // See below.
}GenericIdpActivity.kt

Java

Task<AuthResult> pendingResultTask = firebaseAuth.getPendingAuthResult();
if (pendingResultTask != null) {
    // There's something already here! Finish the sign-in for your user.
    pendingResultTask
            .addOnSuccessListener(
                    new OnSuccessListener<AuthResult>() {
                        @Override
                        public void onSuccess(AuthResult authResult) {
                            // User is signed in.
                            // IdP data available in
                            // authResult.getAdditionalUserInfo().getProfile().
                            // The OAuth access token can also be retrieved:
                            // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                            // The OAuth secret can be retrieved by calling:
                            // ((OAuthCredential)authResult.getCredential()).getSecret().
                        }
                    })
            .addOnFailureListener(
                    new OnFailureListener() {
                        @Override
                        public void onFailure(@NonNull Exception e) {
                            // Handle failure.
                        }
                    });
} else {
    // There's no pending result so you need to start the sign-in flow.
    // See below.
}GenericIdpActivity.java

如要啟動登入流程，請呼叫 startActivityForSignInWithProvider：

Kotlin

firebaseAuth
    .startActivityForSignInWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // User is signed in.
        // IdP data available in
        // authResult.getAdditionalUserInfo().getProfile().
        // The OAuth access token can also be retrieved:
        // ((OAuthCredential)authResult.getCredential()).getAccessToken().
        // The OAuth secret can be retrieved by calling:
        // ((OAuthCredential)authResult.getCredential()).getSecret().
    }
    .addOnFailureListener {
        // Handle failure.
    }GenericIdpActivity.kt

Java

firebaseAuth
        .startActivityForSignInWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // User is signed in.
                        // IdP data available in
                        // authResult.getAdditionalUserInfo().getProfile().
                        // The OAuth access token can also be retrieved:
                        // ((OAuthCredential)authResult.getCredential()).getAccessToken().
                        // The OAuth secret can be retrieved by calling:
                        // ((OAuthCredential)authResult.getCredential()).getSecret().
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });GenericIdpActivity.java

雖然上述範例著重於登入流程，但您也可以使用 startActivityForLinkWithProvider 將 OIDC 提供者連結至現有使用者。舉例來說，您可以將多個提供者連結至同一位使用者，讓他們使用任一提供者登入。

Kotlin

// The user is already signed-in.
val firebaseUser = firebaseAuth.currentUser!!
firebaseUser
    .startActivityForLinkWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // Provider credential is linked to the current user.
        // IdP data available in
        // authResult.getAdditionalUserInfo().getProfile().
        // The OAuth access token can also be retrieved:
        // authResult.getCredential().getAccessToken().
        // The OAuth secret can be retrieved by calling:
        // authResult.getCredential().getSecret().
    }
    .addOnFailureListener {
        // Handle failure.
    }GenericIdpActivity.kt

Java

// The user is already signed-in.
FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();

firebaseUser
        .startActivityForLinkWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // Provider credential is linked to the current user.
                        // IdP data available in
                        // authResult.getAdditionalUserInfo().getProfile().
                        // The OAuth access token can also be retrieved:
                        // authResult.getCredential().getAccessToken().
                        // The OAuth secret can be retrieved by calling:
                        // authResult.getCredential().getSecret().
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });GenericIdpActivity.java

startActivityForReauthenticateWithProvider 可用於擷取敏感作業的最新憑證，這些作業需要最近的登入資訊。startActivityForReauthenticateWithProvider 可搭配相同的模式使用。

Kotlin

// The user is already signed-in.
val firebaseUser = firebaseAuth.currentUser!!
firebaseUser
    .startActivityForReauthenticateWithProvider(activity, provider.build())
    .addOnSuccessListener {
        // User is re-authenticated with fresh tokens and
        // should be able to perform sensitive operations
        // like account deletion and email or password
        // update.
    }
    .addOnFailureListener {
        // Handle failure.
    }GenericIdpActivity.kt

Java

// The user is already signed-in.
FirebaseUser firebaseUser = firebaseAuth.getCurrentUser();

firebaseUser
        .startActivityForReauthenticateWithProvider(/* activity= */ this, provider.build())
        .addOnSuccessListener(
                new OnSuccessListener<AuthResult>() {
                    @Override
                    public void onSuccess(AuthResult authResult) {
                        // User is re-authenticated with fresh tokens and
                        // should be able to perform sensitive operations
                        // like account deletion and email or password
                        // update.
                    }
                })
        .addOnFailureListener(
                new OnFailureListener() {
                    @Override
                    public void onFailure(@NonNull Exception e) {
                        // Handle failure.
                    }
                });GenericIdpActivity.java

手動處理登入流程

如果您已在應用程式中實作 OpenID Connect 登入流程，可以直接使用 ID 權杖來驗證 Firebase：

Kotlin

val providerId = "oidc.example-provider" // As registered in Firebase console.
val credential = oAuthCredential(providerId) {
    setIdToken(idToken) // ID token from OpenID Connect flow.
}
Firebase.auth
    .signInWithCredential(credential)
    .addOnSuccessListener { authResult ->
        // User is signed in.

        // IdP data available in:
        //    authResult.additionalUserInfo.profile
    }
    .addOnFailureListener { e ->
        // Handle failure.
    }GenericIdpActivity.kt

Java

AuthCredential credential = OAuthProvider
        .newCredentialBuilder("oidc.example-provider")  // As registered in Firebase console.
        .setIdToken(idToken)  // ID token from OpenID Connect flow.
        .build();
FirebaseAuth.getInstance()
        .signInWithCredential(credential)
        .addOnSuccessListener(new OnSuccessListener<AuthResult>() {
            @Override
            public void onSuccess(AuthResult authResult) {
                // User is signed in.

                // IdP data available in:
                //    authResult.getAdditionalUserInfo().getProfile()
            }
        })
        .addOnFailureListener(new OnFailureListener() {
            @Override
            public void onFailure(@NonNull Exception e) {
                // Handle failure.
            }
        });GenericIdpActivity.java

後續步驟

使用者首次登入後，系統會建立新使用者帳戶，並連結至使用者登入時所用的憑證 (即使用者名稱和密碼、電話號碼或驗證服務提供者資訊)。這個新帳戶會儲存在 Firebase 專案中，無論使用者如何登入，都可以用於在專案中的每個應用程式中識別使用者。

在應用程式中，您可以從 FirebaseUser 物件取得使用者的個人資料基本資訊。請參閱「管理使用者」。
在 Firebase Realtime Database 和 Cloud Storage 安全性規則中，您可以從 auth 變數取得已登入使用者的專屬使用者 ID，並利用該 ID 控管使用者可存取的資料。

您可以將驗證服務供應商憑證連結至現有使用者帳戶，讓使用者使用多個驗證服務供應商登入應用程式。

如要將使用者登出，請呼叫 signOut：

Kotlin

Firebase.auth.signOut()MainActivity.kt

Java

FirebaseAuth.getInstance().signOut();MainActivity.java