S'authentifier avec Microsoft et C++

Vous pouvez permettre à vos utilisateurs de s'authentifier auprès de Firebase à l'aide de fournisseurs OAuth tels que Microsoft Azure Active Directory en intégrant une connexion OAuth générique basée sur le Web dans votre application à l'aide du SDK Firebase pour effectuer la procédure de connexion de bout en bout. Comme ce flux nécessite l'utilisation de SDK Firebase basés sur les téléphones, il n'est compatible avec les plates-formes Android et Apple.

Avant de commencer

1. Ajoutez Firebase à votre projet C++.
2. Dans la console Firebase, ouvrez la section Authentification.
3. Dans l'onglet Méthode de connexion, activez le fournisseur Microsoft.
4. Ajoutez l'ID client et le code secret du client de la console de développement de ce fournisseur à la configuration du fournisseur :
   1. Pour enregistrer un client Microsoft OAuth, suivez les instructions fournies dans l'article Guide de démarrage rapide: enregistrer une application auprès du point de terminaison Azure Active Directory v2.0 Notez que ce point de terminaison prend en charge la connexion à l'aide de comptes personnels Microsoft ainsi que d'Azure comptes Active Directory. En savoir plus sur Azure Active Directory v2.0
   2. Lorsque vous enregistrez des applications auprès de ces fournisseurs, veillez à enregistrer le domaine *.firebaseapp.com de votre projet en tant que domaine de redirection de votre application.
5. Cliquez sur Enregistrer.

Accéder à la classe firebase::auth::Auth

La classe Auth sert de passerelle pour tous les appels d'API.

1. Ajoutez les fichiers d'en-tête Auth et App:

   #include "firebase/app.h"
   #include "firebase/auth.h"
   

2. Dans votre code d'initialisation, créez firebase::App.

   #if defined(__ANDROID__)
     firebase::App* app =
         firebase::App::Create(firebase::AppOptions(), my_jni_env, my_activity);
   #else
     firebase::App* app = firebase::App::Create(firebase::AppOptions());
   #endif  // defined(__ANDROID__)
   

3. Procurez-vous la classe firebase::auth::Auth pour votre firebase::App. Il existe une correspondance un à un entre App et Auth.

   firebase::auth::Auth* auth = firebase::auth::Auth::GetAuth(app);
   

Gérer le flux de connexion avec le SDK Firebase

Pour gérer le flux de connexion avec le SDK Firebase, procédez comme suit:

1. Créez une instance d'un FederatedOAuthProviderData configuré avec l'ID de fournisseur approprié pour Microsoft.

   firebase::auth::FederatedOAuthProviderData
       provider_data(firebase::auth::MicrosoftAuthProvider::kProviderId);
   

2. Facultatif : spécifiez des paramètres OAuth personnalisés supplémentaires que vous souhaitez envoyer avec la requête OAuth.

   // Prompt user to re-authenticate to Microsoft.
   provider_data.custom_parameters["prompt"] = "login";
   
   // Target specific email with login hint.
   provider_data.custom_parameters["login_hint"] =
       "user@firstadd.onmicrosoft.com";
   

   Pour connaître les paramètres compatibles avec Microsoft, consultez la documentation Microsoft OAuth. Notez que vous ne pouvez pas transmettre de paramètres requis par Firebase avec setCustomParameters(). Il s'agit de client_id, response_type, redirect_uri, state, scope et response_mode.

   Pour autoriser uniquement les utilisateurs d'un locataire Azure AD particulier à signer dans l'application, soit le nom de domaine convivial du locataire Azure AD ou l'identifiant GUID du locataire peut être utilisé. Pour ce faire, spécifiez le "locataire" de l'objet paramètres personnalisés.

   // Optional "tenant" parameter in case you are using an Azure AD tenant.
   // eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
   // or "common" for tenant-independent tokens.
   // The default value is "common".
   provider_data.custom_parameters["tenant"] ="TENANT_ID";
   

3. Facultatif: spécifiez des champs d'application OAuth 2.0 supplémentaires en plus du profil de base pour lequel que vous souhaitez demander au fournisseur d'authentification.

   provider_data.scopes.push_back("mail.read");
   provider_data.scopes.push_back("calendars.read");
   

   Pour en savoir plus, consultez les Documentation Microsoft sur les autorisations et le consentement

4. Une fois les données de votre fournisseur configurées, utilisez-les pour créer FederatedOAuthProvider

   // Construct a FederatedOAuthProvider for use in Auth methods.
   firebase::auth::FederatedOAuthProvider provider(provider_data);
   

5. Authentifiez-vous avec Firebase à l'aide de l'objet du fournisseur d'authentification. Notez que contrairement d'autres opérations FirebaseAuth, elle prendra le contrôle de votre UI une vue Web dans laquelle l'utilisateur peut saisir ses identifiants.

   Pour lancer le flux de connexion, appelez SignInWithProvider:

   firebase::Future<firebase::auth::AuthResult> result =
     auth->SignInWithProvider(provider_data);
   

   Votre application peut alors attendre ou enregistrer un rappel sur l'objet Future ;

   Avec le jeton d'accès OAuth, vous pouvez appeler la méthode API Microsoft Graph :

   Contrairement aux autres fournisseurs compatibles avec Firebase Auth, fournir une URL de photo. À la place, les données binaires d'une photo de profil doivent être demandé par API Microsoft Graph :

6. Bien que les exemples ci-dessus se concentrent sur les flux de connexion, vous pouvez également associer un fournisseur Microsoft Azure Active Directory à un utilisateur existant à l'aide de LinkWithProvider. Par exemple, vous pouvez associer plusieurs au même utilisateur, ce qui leur permet de se connecter avec l'un ou l'autre.

   firebase::Future<firebase::auth::AuthResult> result = user.LinkWithProvider(provider_data);
   

7. Le même schéma peut être utilisé avec ReauthenticateWithProvider, qui peut être utilisé pour récupérer de nouveaux identifiants pour les opérations sensibles qui nécessitent connexion récente.

   firebase::Future<firebase::auth::AuthResult> result =
     user.ReauthenticateWithProvider(provider_data);
   

   Il est possible que votre application attende ou enregistre un rappel le l'avenir.

Avancé : gérer manuellement le flux de connexion

Contrairement aux autres fournisseurs OAuth compatibles avec Firebase, et Twitter, où la connexion peut se faire directement à l'aide d'un jeton d'accès OAuth à l'aide d'identifiants basés sur des requêtes, Firebase Auth ne permet pas des fournisseurs de services tels que Microsoft, en raison de l'incapacité Serveur d'authentification pour vérifier l'audience des jetons d'accès Microsoft OAuth. Il s'agit d'une exigence de sécurité critique qui peut exposer les applications et les sites Web à des attaques par rejeu, où un jeton d'accès Microsoft OAuth obtenu pour un projet (pirate informatique) peut être utilisé pour se connecter à un autre projet (victime). Firebase Auth offre plutôt la possibilité de gérer l'ensemble du flux OAuth et l'échange du code d'autorisation à l'aide de l'ID client OAuth et du secret configurés dans la console Firebase. Le code d'autorisation ne peut être utilisé conjointement avec un ID/secret client spécifique, un code d'autorisation obtenus pour un projet ne peuvent pas être utilisés avec un autre.

Si vous devez utiliser ces fournisseurs dans des environnements non compatibles, vous devez utiliser une bibliothèque OAuth tierce et l'authentification personnalisée Firebase. Le premier est nécessaire pour s'authentifier auprès du fournisseur et le second pour échanger les identifiants du fournisseur contre un jeton personnalisé.

Étapes suivantes

Lorsqu'un utilisateur se connecte pour la première fois, un compte utilisateur est créé et associé aux identifiants (nom d'utilisateur et mot de passe, numéro de téléphone ou informations du fournisseur d'authentification) avec lesquels l'utilisateur s'est connecté. Ce nouveau compte est stocké dans votre projet Firebase et peut être utilisé pour identifier un utilisateur dans toutes les applications de votre projet, quelle que soit la manière dont il se connecte.

• Dans vos applications, vous pouvez obtenir les informations de base du profil de l'utilisateur à partir des Objet firebase::auth::User:

  firebase::auth::User user = auth->current_user();
  if (user.is_valid()) {
    std::string name = user.display_name();
    std::string email = user.email();
    std::string photo_url = user.photo_url();
    // The user's ID, unique to the Firebase project.
    // Do NOT use this value to authenticate with your backend server,
    // if you have one. Use firebase::auth::User::Token() instead.
    std::string uid = user.uid();
  }
  

• Dans vos règles de sécurité Firebase Realtime Database et Cloud Storage, vous pouvez obtenir l'ID utilisateur unique de l'utilisateur connecté à partir de la variable auth et l'utiliser pour contrôler les données auxquelles un utilisateur peut accéder.

Vous pouvez autoriser les utilisateurs à se connecter à votre appli à l'aide de plusieurs authentifications fournisseurs en associant leurs identifiants compte utilisateur existant.

Pour déconnecter un utilisateur, appelez SignOut() :

auth->SignOut();