Bạn có thể cho phép người dùng xác thực bằng Firebase bằng ID Apple của họ bằng cách sử dụng Firebase SDK để thực hiện quy trình đăng nhập OAuth 2.0 toàn diện.
Trước khi bắt đầu
Để đăng nhập người dùng bằng Apple, trước tiên hãy định cấu hình tính năng Đăng nhập bằng Apple trên trang web dành cho nhà phát triển của Apple, sau đó dùng Apple làm nhà cung cấp dịch vụ đăng nhập cho dự án Firebase của bạn.
Tham gia Chương trình nhà phát triển của Apple
Chỉ các thành viên của Chương trình dành cho nhà phát triển của Apple mới có thể định cấu hình cho tính năng Đăng nhập bằng Apple.
Định cấu hình tính năng Đăng nhập bằng Apple
Bạn phải bật và định cấu hình tính năng Đăng nhập bằng Apple đúng cách trong dự án Firebase của mình. Cấu hình sẽ khác nhau tuỳ theo nền tảng Android và Apple. Trước khi tiếp tục, vui lòng làm theo phần "Định cấu hình đăng nhập bằng Apple" trong hướng dẫn dành cho các nền tảng của Apple và/hoặc Android.Cho phép Apple làm nhà cung cấp dịch vụ đăng nhập
- Trong bảng điều khiển của Firebase, hãy mở phần Xác thực. Trên thẻ Sign in method (Phương thức đăng nhập), hãy bật nhà cung cấp Apple.
- Định cấu hình chế độ cài đặt của nhà cung cấp tính năng Đăng nhập qua Apple:
- Nếu chỉ đang triển khai ứng dụng trên các nền tảng của Apple, bạn có thể để trống các trường ID dịch vụ, ID nhóm của Apple, khoá riêng tư và mã khoá.
- Để được hỗ trợ trên thiết bị Android:
- Thêm Firebase vào dự án Android của bạn. Hãy nhớ đăng ký chữ ký SHA-1 của ứng dụng khi bạn thiết lập ứng dụng trong bảng điều khiển của Firebase.
- Trong bảng điều khiển của Firebase, hãy mở phần Xác thực. Trên thẻ Sign in method (Phương thức đăng nhập), hãy bật nhà cung cấp Apple. Chỉ định Mã dịch vụ mà bạn đã tạo ở phần trước. Ngoài ra, trong phần cấu hình luồng mã OAuth, hãy chỉ định ID nhóm Apple của bạn cũng như khoá riêng tư và mã khoá mà bạn đã tạo trong phần trước.
Tuân thủ các yêu cầu của Apple về dữ liệu ẩn danh
Tính năng Đăng nhập bằng Apple cho phép người dùng ẩn danh dữ liệu của họ (bao gồm cả địa chỉ email) khi đăng nhập. Người dùng chọn tuỳ chọn này sẽ có địa chỉ email với miền privaterelay.appleid.com. Khi sử dụng tính năng Đăng nhập bằng Apple trong ứng dụng, bạn phải tuân thủ mọi chính sách hoặc điều khoản hiện hành của Apple dành cho nhà phát triển liên quan đến các mã nhận dạng Apple ẩn danh này.
Điều này bao gồm cả việc có được sự đồng ý cần thiết của người dùng trước khi bạn liên kết mọi thông tin cá nhân nhận dạng trực tiếp với ID Apple ẩn danh. Khi sử dụng tính năng Xác thực Firebase, bạn có thể thực hiện các thao tác sau:
- Liên kết một địa chỉ email với một ID Apple ẩn danh hoặc ngược lại.
- Liên kết số điện thoại với ID Apple ẩn danh hoặc ngược lại
- Liên kết thông tin đăng nhập mạng xã hội không ẩn danh (Facebook, Google, v.v.) với ID Apple ẩn danh hoặc ngược lại.
Danh sách bên trên chưa đầy đủ. Hãy tham khảo Thoả thuận cấp phép của Chương trình dành cho nhà phát triển của Apple trong phần Gói thành viên trong tài khoản nhà phát triển của bạn để đảm bảo ứng dụng của bạn đáp ứng các yêu cầu của Apple.
Truy cập vào lớp firebase::auth::Auth
Lớp Auth là cổng vào cho tất cả lệnh gọi API.
- Thêm tệp tiêu đề Ứng dụng và Xác thực:
#include "firebase/app.h" #include "firebase/auth.h"
- Trong mã khởi động của bạn, hãy tạo một lớp
firebase::App.#if defined(__ANDROID__) firebase::App* app = firebase::App::Create(firebase::AppOptions(), my_jni_env, my_activity); #else firebase::App* app = firebase::App::Create(firebase::AppOptions()); #endif // defined(__ANDROID__) - Mua lớp
firebase::auth::Authchofirebase::Appcủa bạn. Có một mối liên kết một với một giữaAppvàAuth.firebase::auth::Auth* auth = firebase::auth::Auth::GetAuth(app);
Xử lý quy trình đăng nhập bằng Firebase SDK
Quy trình Đăng nhập bằng Apple khác nhau tuỳ theo nền tảng của Apple và Android.
Trên các nền tảng của Apple
Xác thực người dùng bằng Firebase thông qua SDK Mục tiêu đăng nhập của Apple được gọi từ mã C++ của bạn.
Đối với mỗi yêu cầu đăng nhập, hãy tạo một chuỗi ngẫu nhiên – "số chỉ dùng một lần" – mà bạn sẽ sử dụng để đảm bảo mã thông báo mã nhận dạng mà bạn nhận được đã được cấp riêng theo yêu cầu xác thực của ứng dụng. Đây là bước quan trọng để ngăn chặn các cuộc tấn công phát lại.
- (NSString *)randomNonce:(NSInteger)length { NSAssert(length > 0, @"Expected nonce to have positive length"); NSString *characterSet = @"0123456789ABCDEFGHIJKLMNOPQRSTUVXYZabcdefghijklmnopqrstuvwxyz-._"; NSMutableString *result = [NSMutableString string]; NSInteger remainingLength = length; while (remainingLength > 0) { NSMutableArray *randoms = [NSMutableArray arrayWithCapacity:16]; for (NSInteger i = 0; i < 16; i++) { uint8_t random = 0; int errorCode = SecRandomCopyBytes(kSecRandomDefault, 1, &random); NSAssert(errorCode == errSecSuccess, @"Unable to generate nonce: OSStatus %i", errorCode); [randoms addObject:@(random)]; } for (NSNumber *random in randoms) { if (remainingLength == 0) { break; } if (random.unsignedIntValue < characterSet.length) { unichar character = [characterSet characterAtIndex:random.unsignedIntValue]; [result appendFormat:@"%C", character]; remainingLength--; } } } }Bạn sẽ gửi hàm băm SHA256 của số chỉ dùng một lần cùng với yêu cầu đăng nhập. Apple sẽ truyền dữ liệu này không thay đổi trong phản hồi. Firebase xác thực phản hồi bằng cách băm số chỉ dùng một lần ban đầu rồi so sánh với giá trị mà Apple chuyển.
Bắt đầu quy trình đăng nhập của Apple, bao gồm cả trong yêu cầu của bạn, hàm băm SHA256 của số chỉ dùng một lần và lớp uỷ quyền sẽ xử lý phản hồi của Apple (xem bước tiếp theo):
- (void)startSignInWithAppleFlow { NSString *nonce = [self randomNonce:32]; self.currentNonce = nonce; ASAuthorizationAppleIDProvider *appleIDProvider = [[ASAuthorizationAppleIDProvider alloc] init]; ASAuthorizationAppleIDRequest *request = [appleIDProvider createRequest]; request.requestedScopes = @[ASAuthorizationScopeFullName, ASAuthorizationScopeEmail]; request.nonce = [self stringBySha256HashingString:nonce]; ASAuthorizationController *authorizationController = [[ASAuthorizationController alloc] initWithAuthorizationRequests:@[request]]; authorizationController.delegate = self; authorizationController.presentationContextProvider = self; [authorizationController performRequests]; } - (NSString *)stringBySha256HashingString:(NSString *)input { const char *string = [input UTF8String]; unsigned char result[CC_SHA256_DIGEST_LENGTH]; CC_SHA256(string, (CC_LONG)strlen(string), result); NSMutableString *hashed = [NSMutableString stringWithCapacity:CC_SHA256_DIGEST_LENGTH * 2]; for (NSInteger i = 0; i < CC_SHA256_DIGEST_LENGTH; i++) { [hashed appendFormat:@"%02x", result[i]]; } return hashed; }Xử lý phản hồi của Apple trong quá trình triển khai AS PermissionsControllerDelegate. Nếu đăng nhập thành công, hãy sử dụng mã thông báo mã nhận dạng trong phản hồi của Apple với số chỉ dùng một lần chưa được băm để xác thực với Firebase:
- (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithAuthorization:(ASAuthorization *)authorization API_AVAILABLE(ios(13.0)) { if ([authorization.credential isKindOfClass:[ASAuthorizationAppleIDCredential class]]) { ASAuthorizationAppleIDCredential *appleIDCredential = authorization.credential; NSString *rawNonce = self.currentNonce; NSAssert(rawNonce != nil, @"Invalid state: A login callback was received, but no login request was sent."); if (appleIDCredential.identityToken == nil) { NSLog(@"Unable to fetch identity token."); return; } NSString *idToken = [[NSString alloc] initWithData:appleIDCredential.identityToken encoding:NSUTF8StringEncoding]; if (idToken == nil) { NSLog(@"Unable to serialize id token from data: %@", appleIDCredential.identityToken); } }Sử dụng chuỗi mã thông báo thu được và số chỉ dùng một lần ban đầu để tạo Thông tin xác thực Firebase và đăng nhập vào Firebase.
firebase::auth::OAuthProvider::GetCredential( /*provider_id=*/"apple.com", token, nonce, /*access_token=*/nullptr); firebase::Future<firebase::auth::AuthResult> result = auth->SignInAndRetrieveDataWithCredential(credential);Bạn có thể sử dụng cùng một mẫu với
Reauthenticateđể truy xuất thông tin xác thực mới cho các hoạt động nhạy cảm yêu cầu đăng nhập gần đây.firebase::Future<firebase::auth::AuthResult> result = user->Reauthenticate(credential);Bạn có thể dùng cùng một mẫu để liên kết một tài khoản có tính năng Đăng nhập bằng Apple. Tuy nhiên, bạn có thể gặp lỗi khi một tài khoản Firebase hiện có đã được liên kết với tài khoản Apple mà bạn đang muốn liên kết. Khi điều này xảy ra, thì tương lai sẽ trả về trạng thái
kAuthErrorCredentialAlreadyInUsevàAuthResultcó thể chứacredentialhợp lệ. Bạn có thể dùng thông tin đăng nhập này để đăng nhập vào tài khoản được liên kết với Apple thông quaSignInAndRetrieveDataWithCredentialmà không cần tạo một mã thông báo Đăng nhập và số chỉ dùng một lần khác của Apple.firebase::Future<firebase::auth::AuthResult> link_result = auth->current_user().LinkWithCredential(credential); // To keep example simple, wait on the current thread until call completes. while (link_result.status() == firebase::kFutureStatusPending) { Wait(100); } // Determine the result of the link attempt if (link_result.error() == firebase::auth::kAuthErrorNone) { // user linked correctly. } else if (link_result.error() == firebase::auth::kAuthErrorCredentialAlreadyInUse && link_result.result() ->additional_user_info.updated_credential.is_valid()) { // Sign In with the new credential firebase::Future<firebase::auth::AuthResult> result = auth->SignInAndRetrieveDataWithCredential( link_result.result()->additional_user_info.updated_credential); } else { // Another link error occurred. }
Trên Android
Trên Android, hãy xác thực người dùng bằng Firebase bằng cách tích hợp tính năng Đăng nhập OAuth chung dựa trên nền tảng web vào ứng dụng của bạn bằng cách sử dụng Firebase SDK để thực hiện quy trình đăng nhập từ đầu đến cuối.
Để xử lý quy trình đăng nhập bằng Firebase SDK, hãy làm theo các bước sau:
Tạo một thực thể của
FederatedOAuthProviderDatađược định cấu hình bằng mã nhà cung cấp phù hợp với Apple.firebase::auth::FederatedOAuthProviderData provider_data("apple.com");Không bắt buộc: Chỉ định các phạm vi OAuth 2.0 khác ngoài phạm vi mặc định mà bạn muốn yêu cầu từ trình cung cấp dịch vụ xác thực.
provider_data.scopes.push_back("email"); provider_data.scopes.push_back("name");Không bắt buộc: Nếu bạn muốn hiển thị màn hình đăng nhập của Apple bằng ngôn ngữ không phải tiếng Anh, hãy đặt tham số
locale. Hãy xem phần Đăng nhập bằng tài liệu của Apple để biết các ngôn ngữ được hỗ trợ.// Localize to French. provider_data.custom_parameters["language"] = "fr"; ```Sau khi định cấu hình dữ liệu của nhà cung cấp, hãy sử dụng dữ liệu đó để tạo liên kết OAuthProvider.
// Construct a FederatedOAuthProvider for use in Auth methods. firebase::auth::FederatedOAuthProvider provider(provider_data);Xác thực bằng Firebase bằng đối tượng nhà cung cấp dịch vụ Xác thực. Xin lưu ý rằng không giống như các thao tác FirebaseAuth khác, thao tác này sẽ kiểm soát giao diện người dùng của bạn bằng cách bật lên một chế độ xem web để người dùng có thể nhập thông tin đăng nhập của họ.
Để bắt đầu quy trình đăng nhập, hãy gọi
signInWithProvider:firebase::Future<firebase::auth::AuthResult> result = auth->SignInWithProvider(provider_data);Sau đó, ứng dụng của bạn có thể chờ hoặc đăng ký một lệnh gọi lại trong Future.
Bạn có thể sử dụng cùng một mẫu với
ReauthenticateWithProviderđể truy xuất thông tin xác thực mới cho các hoạt động nhạy cảm yêu cầu đăng nhập gần đây.firebase::Future<firebase::auth::AuthResult> result = user.ReauthenticateWithProvider(provider_data);Sau đó, ứng dụng của bạn có thể chờ hoặc đăng ký một lệnh gọi lại trong Future.
Ngoài ra, bạn có thể sử dụng
LinkWithCredential()để liên kết nhiều nhà cung cấp danh tính với các tài khoản hiện có.Xin lưu ý rằng Apple yêu cầu bạn phải được người dùng đồng ý rõ ràng trước khi liên kết tài khoản Apple của họ với dữ liệu khác.
Ví dụ: để liên kết tài khoản Facebook với tài khoản Firebase hiện tại, hãy sử dụng mã truy cập bạn nhận được từ việc đăng nhập người dùng vào Facebook:
// Initialize a Facebook credential with a Facebook access token. AuthCredential credential = firebase::auth::FacebookAuthProvider.getCredential(token); // Assuming the current user is an Apple user linking a Facebook provider. firebase::Future<firebase::auth::AuthResult> result = auth.current_user().LinkWithCredential(credential);
Đăng nhập bằng Apple Notes
Không giống như các nhà cung cấp khác được tính năng Xác thực Firebase hỗ trợ, Apple không cung cấp URL ảnh.
Ngoài ra, khi người dùng chọn không chia sẻ email của họ với ứng dụng, Apple sẽ cấp cho người dùng đó một địa chỉ email duy nhất (có dạng xyz@privaterelay.appleid.com). Nếu bạn đã định cấu hình dịch vụ chuyển tiếp email riêng tư, Apple sẽ chuyển tiếp các email gửi đến địa chỉ ẩn danh đến địa chỉ email thực của người dùng.
Apple chỉ chia sẻ thông tin người dùng (chẳng hạn như tên hiển thị) với các ứng dụng vào lần đầu tiên người dùng đăng nhập. Thông thường, Firebase lưu trữ tên hiển thị trong lần đầu tiên người dùng đăng nhập bằng Apple. Bạn có thể lấy tên hiển thị này qua current_user().display_name(). Tuy nhiên, nếu trước đây bạn đã sử dụng Apple để đăng nhập người dùng vào ứng dụng mà không sử dụng Firebase, thì Apple sẽ không cung cấp cho Firebase tên hiển thị của người dùng đó.
Các bước tiếp theo
Sau khi người dùng đăng nhập lần đầu tiên, một tài khoản người dùng mới sẽ được tạo và liên kết với thông tin đăng nhập (chẳng hạn như tên người dùng và mật khẩu, số điện thoại hoặc thông tin của nhà cung cấp dịch vụ xác thực) mà người dùng đã đăng nhập. Tài khoản mới này được lưu trữ trong dự án Firebase và có thể được dùng để xác định người dùng trên mọi ứng dụng trong dự án, bất kể người dùng đăng nhập bằng cách nào.Trong các ứng dụng, bạn có thể lấy thông tin hồ sơ cơ bản của người dùng từ đối tượng firebase::auth::User. Hãy xem phần Quản lý người dùng.
Trong Quy tắc bảo mật của Cloud Storage và Cơ sở dữ liệu theo thời gian thực của Firebase, bạn có thể lấy mã nhận dạng người dùng riêng biệt của người dùng đã đăng nhập từ biến xác thực và sử dụng mã đó để kiểm soát dữ liệu mà người dùng có thể truy cập.