您可根據 Firebase SDK 執行端對端 OAuth 2.0 登入流程,讓使用者以 Apple ID 向 Firebase 進行驗證。
事前準備
如要使用 Apple 登入使用者,請先在 Apple 的開發人員網站上設定「使用 Apple 帳戶登入」,然後啟用 Apple 做為 Firebase 專案的登入供應商。
加入 Apple Developer Program
只有 Apple Developer Program 成員才能設定「使用 Apple 登入」。
設定「使用 Apple 登入」功能
您必須在 Firebase 專案中啟用 Apple 登入功能,並完成相關設定。設定方法會因 Android 和 Apple 平台而異。請先按照 Apple 平台和/或 Android 指南的「設定使用 Apple 登入」一節的說明操作。啟用 Apple 做為登入服務供應商
- 在 Firebase 控制台開啟「驗證」專區。在「登入方式」分頁中啟用「Apple」供應商。
- 調整 Apple 登入提供者設定:
- 如果只部署 Apple 平台的應用程式,請將「服務 ID」、「Apple 團隊 ID」、「私密金鑰」和「金鑰 ID」欄位留空。
- 如需 Android 裝置的支援:
- 將 Firebase 新增至您的 Android 專案。在 Firebase 控制台中設定應用程式時,請務必註冊應用程式的 SHA-1 簽名。
- 在 Firebase 控制台開啟「驗證」專區。在「登入方式」分頁中,啟用「Apple」供應商。指定您在上一節建立的服務 ID。另外,請在 OAuth 程式碼流程設定專區中,指定您在上一節建立的 Apple Team ID 和私密金鑰與金鑰 ID。
遵守 Apple 的去識別化資料規定
「使用 Apple 帳戶登入」可讓使用者在登入時,選擇將自己的資料 (包括電子郵件地址) 去識別化。選擇這個選項的使用者都有 privaterelay.appleid.com 網域的電子郵件地址。在應用程式中使用「使用 Apple 帳戶登入」功能時,您必須遵守 Apple 針對這些匿名化 Apple ID 提供的任何適用的開發人員政策或條款。
包括先取得任何必要的使用者同意聲明,再將任何直接識別個人資訊與去識別化的 Apple ID 建立關聯。使用 Firebase 驗證時,這可能包括下列動作:
- 將電子郵件地址連結至去識別化的 Apple ID。
- 將電話號碼與去識別化的 Apple ID 連結
- 將非匿名社會憑證 (Facebook、Google 等) 連結至去識別化的 Apple ID,反之亦然。
請注意,上方清單僅列出部分示例。請在開發人員帳戶的「會員資格」部分中參閱《Apple 開發人員計畫授權協議》,確保您的應用程式符合 Apple 的規定。
存取 firebase::auth::Auth 類別
Auth 類別是所有 API 呼叫的閘道,- 新增 Auth 和應用程式標頭檔案:
#include "firebase/app.h" #include "firebase/auth.h"
- 在初始化程式碼中,建立
firebase::App類別。#if defined(__ANDROID__) firebase::App* app = firebase::App::Create(firebase::AppOptions(), my_jni_env, my_activity); #else firebase::App* app = firebase::App::Create(firebase::AppOptions()); #endif // defined(__ANDROID__) - 取得
firebase::App的firebase::auth::Auth類別。App和Auth之間有一對一的對應關係。firebase::auth::Auth* auth = firebase::auth::Auth::GetAuth(app);
使用 Firebase SDK 處理登入流程
透過 Apple 登入的程序會因 Apple 和 Android 平台而異。
在 Apple 平台上
透過從 C++ 程式碼叫用的 Apple Sign In Objective-C SDK,使用 Firebase 驗證使用者。
針對每個登入要求產生隨機字串 (「nonce」),您即可用來確保系統為了回應應用程式的驗證要求,而特別授予您取得的 ID 權杖。這個步驟非常重要,因為步驟是防範重送攻擊。
- (NSString *)randomNonce:(NSInteger)length { NSAssert(length > 0, @"Expected nonce to have positive length"); NSString *characterSet = @"0123456789ABCDEFGHIJKLMNOPQRSTUVXYZabcdefghijklmnopqrstuvwxyz-._"; NSMutableString *result = [NSMutableString string]; NSInteger remainingLength = length; while (remainingLength > 0) { NSMutableArray *randoms = [NSMutableArray arrayWithCapacity:16]; for (NSInteger i = 0; i < 16; i++) { uint8_t random = 0; int errorCode = SecRandomCopyBytes(kSecRandomDefault, 1, &random); NSAssert(errorCode == errSecSuccess, @"Unable to generate nonce: OSStatus %i", errorCode); [randoms addObject:@(random)]; } for (NSNumber *random in randoms) { if (remainingLength == 0) { break; } if (random.unsignedIntValue < characterSet.length) { unichar character = [characterSet characterAtIndex:random.unsignedIntValue]; [result appendFormat:@"%C", character]; remainingLength--; } } } }您會在登入要求時傳送 Nonce 的 SHA256 雜湊,Apple 會在回應中傳遞此雜湊。Firebase 會對原始 Nonce 值進行雜湊處理,並與 Apple 傳送的值進行比較,藉此驗證回應。
啟動 Apple 的登入流程,包括您要求中的 Nonce SHA256 雜湊,以及處理 Apple 回應的委派類別 (請參閱下一個步驟):
- (void)startSignInWithAppleFlow { NSString *nonce = [self randomNonce:32]; self.currentNonce = nonce; ASAuthorizationAppleIDProvider *appleIDProvider = [[ASAuthorizationAppleIDProvider alloc] init]; ASAuthorizationAppleIDRequest *request = [appleIDProvider createRequest]; request.requestedScopes = @[ASAuthorizationScopeFullName, ASAuthorizationScopeEmail]; request.nonce = [self stringBySha256HashingString:nonce]; ASAuthorizationController *authorizationController = [[ASAuthorizationController alloc] initWithAuthorizationRequests:@[request]]; authorizationController.delegate = self; authorizationController.presentationContextProvider = self; [authorizationController performRequests]; } - (NSString *)stringBySha256HashingString:(NSString *)input { const char *string = [input UTF8String]; unsigned char result[CC_SHA256_DIGEST_LENGTH]; CC_SHA256(string, (CC_LONG)strlen(string), result); NSMutableString *hashed = [NSMutableString stringWithCapacity:CC_SHA256_DIGEST_LENGTH * 2]; for (NSInteger i = 0; i < CC_SHA256_DIGEST_LENGTH; i++) { [hashed appendFormat:@"%02x", result[i]]; } return hashed; }在實作 ASAuthorizationControllerDelegate` 實作中處理 Apple 的回應。如果登入成功,請使用 Apple 回應中的 ID 權杖搭配未經雜湊處理的 Nonce,透過 Firebase 進行驗證:
- (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithAuthorization:(ASAuthorization *)authorization API_AVAILABLE(ios(13.0)) { if ([authorization.credential isKindOfClass:[ASAuthorizationAppleIDCredential class]]) { ASAuthorizationAppleIDCredential *appleIDCredential = authorization.credential; NSString *rawNonce = self.currentNonce; NSAssert(rawNonce != nil, @"Invalid state: A login callback was received, but no login request was sent."); if (appleIDCredential.identityToken == nil) { NSLog(@"Unable to fetch identity token."); return; } NSString *idToken = [[NSString alloc] initWithData:appleIDCredential.identityToken encoding:NSUTF8StringEncoding]; if (idToken == nil) { NSLog(@"Unable to serialize id token from data: %@", appleIDCredential.identityToken); } }使用產生的權杖字串和原始 Nonce 建構 Firebase 憑證並登入 Firebase。
firebase::auth::OAuthProvider::GetCredential( /*provider_id=*/"apple.com", token, nonce, /*access_token=*/nullptr); firebase::Future<firebase::auth::AuthResult> result = auth->SignInAndRetrieveDataWithCredential(credential);相同的模式可與
Reauthenticate搭配使用,以針對需要近期登入的敏感作業擷取新憑證。firebase::Future<firebase::auth::AuthResult> result = user->Reauthenticate(credential);這個模式也能用來連結帳戶與 Apple 登入功能。 不過,如果現有 Firebase 帳戶已連結至您要連結的 Apple 帳戶,就有可能發生錯誤。發生這種情況時,系統會傳回
kAuthErrorCredentialAlreadyInUse的狀態,而AuthResult可能包含有效的credential。這組憑證可透過SignInAndRetrieveDataWithCredential登入 Apple 連結的帳戶,不必產生另一個 Apple 登入權杖和 Nonce。firebase::Future<firebase::auth::AuthResult> link_result = auth->current_user().LinkWithCredential(credential); // To keep example simple, wait on the current thread until call completes. while (link_result.status() == firebase::kFutureStatusPending) { Wait(100); } // Determine the result of the link attempt if (link_result.error() == firebase::auth::kAuthErrorNone) { // user linked correctly. } else if (link_result.error() == firebase::auth::kAuthErrorCredentialAlreadyInUse && link_result.result() ->additional_user_info.updated_credential.is_valid()) { // Sign In with the new credential firebase::Future<firebase::auth::AuthResult> result = auth->SignInAndRetrieveDataWithCredential( link_result.result()->additional_user_info.updated_credential); } else { // Another link error occurred. }
Android 裝置
在 Android 上,請透過 Firebase SDK 將網頁式一般 OAuth 登入整合至您的應用程式,透過 Firebase 執行端對端登入流程,藉此透過 Firebase 驗證您的使用者。
如要使用 Firebase SDK 處理登入流程,請按照下列步驟操作:
使用適用於 Apple 的提供者 ID 設定的
FederatedOAuthProviderData執行個體。firebase::auth::FederatedOAuthProviderData provider_data("apple.com");選用:指定其他 OAuth 2.0 範圍,指定您向驗證供應商要求的預設範圍之外。
provider_data.scopes.push_back("email"); provider_data.scopes.push_back("name");選用:如要使用英文以外的語言顯示 Apple 的登入畫面,請設定
locale參數。如要瞭解支援的語言代碼,請參閱使用 Apple 帳戶登入說明文件。// Localize to French. provider_data.custom_parameters["language"] = "fr"; ```設定提供者資料後,請使用該資料建立 FederatedOAuthProvider。
// Construct a FederatedOAuthProvider for use in Auth methods. firebase::auth::FederatedOAuthProvider provider(provider_data);使用驗證提供者物件進行 Firebase 驗證。請注意,與其他 FirebaseAuth 作業不同,這會彈出網路檢視畫面,讓使用者輸入憑證來控制 UI。
如要啟動登入流程,請呼叫
signInWithProvider:firebase::Future<firebase::auth::AuthResult> result = auth->SignInWithProvider(provider_data);接著,應用程式可以等待或 在 Future 上註冊回呼。
相同的模式可與
ReauthenticateWithProvider搭配使用,以針對需要近期登入的敏感作業擷取新憑證。firebase::Future<firebase::auth::AuthResult> result = user.ReauthenticateWithProvider(provider_data);接著,應用程式可能會等待或在 Future 上註冊回呼。
此外,您也可以使用
LinkWithCredential()將不同的識別資訊提供者連結至現有帳戶。請注意,Apple 規定您必須先取得使用者的明確同意,才能將他們的 Apple 帳戶連結至其他資料。
例如,如要將 Facebook 帳戶連結至目前的 Firebase 帳戶,請使用使用者登入 Facebook 時取得的存取權杖:
// Initialize a Facebook credential with a Facebook access token. AuthCredential credential = firebase::auth::FacebookAuthProvider.getCredential(token); // Assuming the current user is an Apple user linking a Facebook provider. firebase::Future<firebase::auth::AuthResult> result = auth.current_user().LinkWithCredential(credential);
使用 Apple 記事登入
不同於 Firebase 驗證支援的其他供應商,Apple 不提供相片網址。
此外,如果使用者選擇不與應用程式共用電子郵件地址,Apple 會為該使用者佈建專屬電子郵件地址 (採用 xyz@privaterelay.appleid.com 格式),並將該電子郵件地址與應用程式共用。如果您設定了私人電子郵件轉發服務,Apple 會將傳送至匿名電子郵件地址的電子郵件轉寄至使用者的實際電子郵件地址。
Apple 只會在使用者首次登入時,與應用程式分享使用者資訊,例如顯示名稱。通常 Firebase 會在使用者首次使用 Apple 登入時儲存顯示名稱,您可使用 current_user().display_name() 取得。不過,如果您先前是透過 Apple 登入應用程式,但未使用 Firebase,Apple 將不會提供 Firebase 使用者的顯示名稱。
後續步驟
使用者首次登入後,系統會建立新的使用者帳戶,並連結至憑證 (即使用者名稱與密碼、電話號碼或驗證提供者資訊),也就是使用者登入時使用的憑證。新帳戶會儲存在 Firebase 專案中,可用來識別專案中各個應用程式的使用者 (無論使用者登入方式為何)。在應用程式中,您可以從 firebase::auth::User 物件取得使用者的基本個人資料。請參閱管理使用者一文。
在 Firebase 即時資料庫和 Cloud Storage 安全性規則中,您可以透過驗證變數取得登入使用者的專屬 ID,並使用該 ID 控制使用者可以存取哪些資料。