Xác thực bằng Firebase bằng đường liên kết email trên các nền tảng của Apple

Bạn có thể sử dụng Xác thực Firebase để đăng nhập cho người dùng bằng cách gửi cho họ một email có chứa đường liên kết mà họ có thể nhấp vào để đăng nhập. Trong quá trình này, địa chỉ email của người dùng cũng được xác minh.

Việc đăng nhập bằng email mang lại nhiều lợi ích:

• Đăng ký và đăng nhập dễ dàng.
• Giảm nguy cơ sử dụng lại mật khẩu trên nhiều ứng dụng. Điều này có thể làm suy yếu tính bảo mật của ngay cả những mật khẩu được chọn kỹ lưỡng.
• Khả năng xác thực người dùng đồng thời xác minh rằng người dùng đó là chủ sở hữu hợp pháp của một địa chỉ email.
• Người dùng chỉ cần có một tài khoản email có thể truy cập để đăng nhập. Bạn không cần phải sở hữu số điện thoại hoặc tài khoản mạng xã hội.
• Người dùng có thể đăng nhập một cách an toàn mà không cần cung cấp (hoặc nhớ) mật khẩu. Điều này có thể gây phiền toái trên thiết bị di động.
• Người dùng hiện tại đã đăng nhập bằng một giá trị nhận dạng email (mật khẩu hoặc liên kết) có thể được nâng cấp để đăng nhập chỉ bằng email. Ví dụ: người dùng quên mật khẩu vẫn có thể đăng nhập mà không cần đặt lại mật khẩu.

Trước khi bắt đầu

Sử dụng Swift Package Manager để cài đặt và quản lý các phần phụ thuộc của Firebase.

1. Trong Xcode, khi dự án ứng dụng của bạn đang mở, hãy chuyển đến File > Add Packages (Tệp > Thêm gói).
2. Khi được nhắc, hãy thêm kho lưu trữ SDK Firebase cho các nền tảng của Apple:

  https://github.com/firebase/firebase-ios-sdk.git

3. Chọn thư viện Firebase Authentication.
4. Thêm cờ -ObjC vào mục Cờ trình liên kết khác trong chế độ cài đặt bản dựng của mục tiêu.
5. Khi hoàn tất, Xcode sẽ tự động bắt đầu phân giải và tải các phần phụ thuộc của bạn xuống ở chế độ nền.

Bật tính năng đăng nhập bằng đường liên kết qua email cho dự án Firebase

Để đăng nhập người dùng bằng đường liên kết qua email, trước tiên, bạn phải bật Nhà cung cấp email và phương thức đăng nhập bằng đường liên kết qua email cho dự án Firebase của mình:

1. Trong bảng điều khiển của Firebase, hãy mở mục Xác thực.
2. Trên thẻ Phương thức đăng nhập, hãy bật trình cung cấp Email/Mật khẩu. Lưu ý rằng bạn phải bật tính năng đăng nhập bằng email/mật khẩu để sử dụng tính năng đăng nhập bằng đường liên kết qua email.
3. Cũng trong phần này, hãy bật phương thức đăng nhập Đường liên kết qua email (đăng nhập không cần mật khẩu).
4. Nhấp vào Lưu.

Gửi đường liên kết xác thực đến địa chỉ email của người dùng

Để bắt đầu quy trình xác thực, hãy cung cấp cho người dùng một giao diện nhắc người dùng cung cấp địa chỉ email của họ, sau đó gọi sendSignInLink để yêu cầu Firebase gửi đường liên kết xác thực đến email của người dùng.

1. Tạo đối tượng ActionCodeSettings. Đối tượng này cung cấp cho Firebase hướng dẫn về cách tạo đường liên kết qua email. Đặt các trường sau:

   • url: Đường liên kết sâu cần nhúng và mọi trạng thái bổ sung cần được truyền đi. Miền của đường liên kết phải nằm trong danh sách các miền được uỷ quyền của Bảng điều khiển Firebase. Bạn có thể tìm thấy danh sách này bằng cách chuyển đến thẻ Phương thức đăng nhập (Xác thực -> Phương thức đăng nhập).
   • iOSBundleID và androidPackageName: Giúp Firebase Authentication xác định xem có nên tạo một đường liên kết chỉ dành cho web hay đường liên kết dành cho thiết bị di động được mở trên thiết bị Android hoặc Apple hay không.
   • handleCodeInApp: Đặt thành true. Thao tác đăng nhập phải luôn được hoàn tất trong ứng dụng, không giống như các thao tác khác qua email (đặt lại mật khẩu và xác minh email). Điều này là do ở cuối quy trình, người dùng dự kiến sẽ đăng nhập và trạng thái Auth của họ được duy trì trong ứng dụng.
   • linkDomain: Khi các miền liên kết Hosting tuỳ chỉnh được xác định cho một dự án, hãy chỉ định miền nào sẽ dùng khi đường liên kết được mở bằng một ứng dụng di động cụ thể. Nếu không, miền mặc định sẽ tự động được chọn (ví dụ: PROJECT_ID.firebaseapp.com).
   • dynamicLinkDomain: Không dùng nữa. Không chỉ định tham số này.

   Swift

   let actionCodeSettings = ActionCodeSettings()
   actionCodeSettings.url = URL(string: "https://www.example.com")
   // The sign-in operation has to always be completed in the app.
   actionCodeSettings.handleCodeInApp = true
   actionCodeSettings.setIOSBundleID(Bundle.main.bundleIdentifier!)
   actionCodeSettings.setAndroidPackageName("com.example.android",
                                            installIfNotAvailable: false, minimumVersion: "12")
   PasswordlessViewController.swift

   Objective-C

   FIRActionCodeSettings *actionCodeSettings = [[FIRActionCodeSettings alloc] init];
   [actionCodeSettings setURL:[NSURL URLWithString:@"https://www.example.com"]];
   // The sign-in operation has to always be completed in the app.
   actionCodeSettings.handleCodeInApp = YES;
   [actionCodeSettings setIOSBundleID:[[NSBundle mainBundle] bundleIdentifier]];
   [actionCodeSettings setAndroidPackageName:@"com.example.android"
                       installIfNotAvailable:NO
                              minimumVersion:@"12"];
   PasswordlessViewController.m

   Để tìm hiểu thêm về ActionCodeSettings, hãy tham khảo phần Truyền trạng thái trong các thao tác trên email.

2. Yêu cầu người dùng cung cấp email của họ.

3. Gửi đường liên kết xác thực đến email của người dùng và lưu email của người dùng trong trường hợp người dùng hoàn tất quy trình đăng nhập bằng email trên cùng một thiết bị.

   Swift

   Auth.auth().sendSignInLink(toEmail: email,
                              actionCodeSettings: actionCodeSettings) { error in
     // ...
       if let error = error {
         self.showMessagePrompt(error.localizedDescription)
         return
       }
       // The link was successfully sent. Inform the user.
       // Save the email locally so you don't need to ask the user for it again
       // if they open the link on the same device.
       UserDefaults.standard.set(email, forKey: "Email")
       self.showMessagePrompt("Check your email for link")
       // ...
   }
   PasswordlessViewController.swift

   Objective-C

   [[FIRAuth auth] sendSignInLinkToEmail:email
                      actionCodeSettings:actionCodeSettings
                              completion:^(NSError *_Nullable error) {
     // ...
       if (error) {
         [self showMessagePrompt:error.localizedDescription];
          return;
       }
       // The link was successfully sent. Inform the user.
       // Save the email locally so you don't need to ask the user for it again
       // if they open the link on the same device.
       [NSUserDefaults.standardUserDefaults setObject:email forKey:@"Email"];
       [self showMessagePrompt:@"Check your email for link"];
       // ...
   }];
   PasswordlessViewController.m

Hoàn tất quy trình đăng nhập bằng đường liên kết trong email

Các mối lo ngại về bảo mật

Để ngăn người dùng đăng nhập bằng đường liên kết đăng nhập với tư cách là một người dùng không mong muốn hoặc trên một thiết bị không mong muốn, Firebase Auth yêu cầu người dùng cung cấp địa chỉ email khi hoàn tất quy trình đăng nhập. Để đăng nhập thành công, địa chỉ email này phải khớp với địa chỉ mà đường liên kết đăng nhập được gửi đến ban đầu.

Bạn có thể đơn giản hoá quy trình này cho những người dùng mở đường liên kết đăng nhập trên cùng một thiết bị mà họ yêu cầu đường liên kết, bằng cách lưu trữ địa chỉ email của họ cục bộ khi bạn gửi email đăng nhập. Sau đó, hãy dùng địa chỉ này để hoàn tất quy trình.

Sau khi hoàn tất quá trình đăng nhập, mọi cơ chế đăng nhập chưa được xác minh trước đó sẽ bị xoá khỏi người dùng và mọi phiên hiện có sẽ không hợp lệ. Ví dụ: nếu trước đây có người đã tạo một tài khoản chưa được xác minh bằng cùng một email và mật khẩu, thì mật khẩu của người dùng sẽ bị xoá để ngăn chặn kẻ mạo danh đã xác nhận quyền sở hữu và tạo tài khoản chưa được xác minh đó đăng nhập lại bằng cùng một tài khoản.

Hoàn tất quy trình đăng nhập trong ứng dụng di động của Apple

Firebase Authentication sử dụng Firebase Hosting để gửi đường liên kết trong email đến một thiết bị di động. Để hoàn tất quy trình đăng nhập bằng ứng dụng di động, bạn phải định cấu hình ứng dụng để phát hiện đường liên kết đến ứng dụng, phân tích cú pháp đường liên kết sâu cơ bản, sau đó hoàn tất quy trình đăng nhập. Hãy xem các đường liên kết phổ quát và miền được liên kết trên iOS để biết thêm thông tin chi tiết về cách thực hiện việc này.

Định cấu hình Firebase Hosting

Firebase Authentication sử dụng các miền Firebase Hosting khi tạo và gửi một đường liên kết được dùng để mở trong một ứng dụng di động. Hệ thống đã định cấu hình miền Firebase Hosting mặc định cho bạn.

1. Định cấu hình các miền Firebase Hosting:

   Trong bảng điều khiển Firebase, hãy mở mục Lưu trữ.

   • Nếu bạn muốn sử dụng miền mặc định cho đường liên kết trong email sẽ mở trong các ứng dụng di động, hãy chuyển đến trang web mặc định của bạn và ghi lại miền Hosting mặc định. Miền Hosting mặc định thường có dạng như sau: PROJECT_ID.firebaseapp.com.

     Bạn sẽ cần giá trị này khi định cấu hình ứng dụng để chặn đường liên kết đến.

   • Nếu muốn sử dụng một miền tuỳ chỉnh cho đường liên kết trong email, bạn có thể đăng ký một miền với Firebase Hosting và sử dụng miền đó cho miền của đường liên kết.

2. Định cấu hình các ứng dụng của Apple:

   Bạn sẽ cần định cấu hình miền đã chọn làm Miền được liên kết cho đường liên kết đến ứng dụng. Để thiết lập quyền trong ứng dụng, hãy mở thẻ Signing & Capabilities (Ký và khả năng) của mục tiêu trong Xcode rồi thêm các miền Firebase Hosting từ bước trước vào khả năng Associated Domains (Miền được liên kết). Nếu sử dụng miền Firebase Hosting mặc định, thì giá trị này sẽ là applinks:PROJECT_ID.firebaseapp.com.

   Hãy xem phần Hỗ trợ các miền được liên kết trên trang tài liệu của Apple để biết thêm thông tin.

Xác minh đường liên kết và đăng nhập

Sau khi nhận được đường liên kết như mô tả ở trên, hãy xác minh rằng đường liên kết đó dùng để xác thực bằng đường liên kết qua email và hoàn tất quá trình đăng nhập.

if Auth.auth().isSignIn(withEmailLink: link) {
AppDelegate.swift
        Auth.auth().signIn(withEmail: email, link: self.link) { user, error in
          // ...
        }
PasswordlessViewController.swift
}

if ([[FIRAuth auth] isSignInWithEmailLink:link]) {
AppDelegate.m
    [[FIRAuth auth] signInWithEmail:email
                               link:link
                         completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) {
      // ...
    }];
PasswordlessViewController.m
}

Để tìm hiểu cách xử lý hoạt động đăng nhập bằng đường liên kết qua email trong một ứng dụng Android, hãy tham khảo hướng dẫn dành cho Android.

Để tìm hiểu cách xử lý hoạt động đăng nhập bằng đường liên kết qua email trong một ứng dụng web, hãy tham khảo Hướng dẫn về web.

Liên kết/xác thực lại bằng đường liên kết trong email

Bạn cũng có thể liên kết phương thức xác thực này với một người dùng hiện có. Ví dụ: người dùng đã xác thực bằng một nhà cung cấp khác (chẳng hạn như số điện thoại) có thể thêm phương thức đăng nhập này vào tài khoản hiện có của họ.

Điểm khác biệt sẽ nằm ở nửa sau của thao tác:

  let credential = EmailAuthCredential.credential(withEmail:email
                                                       link:link)
  Auth.auth().currentUser?.link(with: credential) { authData, error in
    if (error) {
      // And error occurred during linking.
      return
    }
    // The provider was successfully linked.
    // The phone user can now sign in with their phone number or email.
  }

  FIRAuthCredential *credential =
      [FIREmailAuthProvider credentialWithEmail:email link:link];
  [FIRAuth auth].currentUser
      linkWithCredential:credential
              completion:^(FIRAuthDataResult *_Nullable result,
                           NSError *_Nullable error) {
    if (error) {
      // And error occurred during linking.
      return;
    }
    // The provider was successfully linked.
    // The phone user can now sign in with their phone number or email.
  }];

Bạn cũng có thể dùng phương thức này để xác thực lại người dùng liên kết qua email trước khi chạy một thao tác nhạy cảm.

  let credential = EmailAuthProvider.credential(withEmail:email
                                                       link:link)
  Auth.auth().currentUser?.reauthenticate(with: credential) { authData, error in
    if (error) {
      // And error occurred during re-authentication.
      return
    }
    // The user was successfully re-authenticated.
  }

  FIRAuthCredential *credential =
      [FIREmailAuthCredential credentialWithEmail:email link:link];
  [FIRAuth auth].currentUser
      reauthenticateWithCredential:credential
                        completion:^(FIRAuthDataResult *_Nullable result,
                                     NSError *_Nullable error) {
    if (error) {
      // And error occurred during re-authentication
      return;
    }
    // The user was successfully re-authenticated.
  }];

Tuy nhiên, vì quy trình có thể kết thúc trên một thiết bị khác mà người dùng ban đầu chưa đăng nhập, nên quy trình này có thể không hoàn tất. Trong trường hợp đó, người dùng có thể thấy một thông báo lỗi để buộc họ mở đường liên kết trên cùng một thiết bị. Một số trạng thái có thể được truyền trong đường liên kết để cung cấp thông tin về loại thao tác và mã nhận dạng người dùng.

Không dùng nữa: Quy trình xác minh dựa trên Firebase Dynamic Links

Trước Firebase Authentication iOS SDK phiên bản 11.8.0, tính năng đăng nhập bằng đường liên kết qua email dựa vào Firebase Dynamic Links để mở đường liên kết đăng nhập trong ứng dụng phù hợp. Các đường liên kết xác minh này không còn được dùng nữa vì Firebase Dynamic Links sẽ ngừng hoạt động vào ngày 25 tháng 8 năm 2025.

Nếu ứng dụng của bạn sử dụng các đường liên kết theo kiểu cũ, bạn nên di chuyển ứng dụng sang hệ thống dựa trên Firebase Hosting mới.

Không dùng nữa: Phân biệt mật khẩu email với đường liên kết qua email

Nếu bạn tạo dự án của mình từ ngày 15 tháng 9 năm 2023 trở đi, thì tính năng bảo vệ chống liệt kê email sẽ được bật theo mặc định. Tính năng này cải thiện tính bảo mật của tài khoản người dùng trong dự án, nhưng sẽ vô hiệu hoá phương thức fetchSignInMethodsForEmail(). Trước đây, chúng tôi khuyến nghị bạn triển khai các luồng nhận dạng trước.

Mặc dù bạn có thể tắt tính năng bảo vệ chống liệt kê email cho dự án của mình, nhưng bạn không nên làm như vậy.

Để tìm hiểu thêm, hãy xem bài viết Bật hoặc tắt tính năng bảo vệ chống liệt kê email.

Các bước tiếp theo

Sau khi người dùng đăng nhập lần đầu tiên, một tài khoản người dùng mới sẽ được tạo và liên kết với thông tin đăng nhập (tức là tên người dùng và mật khẩu, số điện thoại hoặc thông tin nhà cung cấp dịch vụ uỷ quyền) mà người dùng đã đăng nhập. Tài khoản mới này được lưu trữ trong dự án Firebase của bạn và có thể dùng để xác định một người dùng trên mọi ứng dụng trong dự án, bất kể người dùng đăng nhập bằng cách nào.

• Trong các ứng dụng của mình, bạn có thể lấy thông tin cơ bản về hồ sơ của người dùng từ đối tượng User . Hãy xem phần Quản lý người dùng.

• Trong Firebase Realtime Database và Cloud Storage Quy tắc bảo mật, bạn có thể lấy mã nhận dạng người dùng riêng biệt của người dùng đã đăng nhập từ biến auth và dùng mã nhận dạng này để kiểm soát dữ liệu mà người dùng có thể truy cập.

Bạn có thể cho phép người dùng đăng nhập vào ứng dụng của bạn bằng nhiều trình cung cấp dịch vụ xác thực bằng cách liên kết thông tin đăng nhập của trình cung cấp dịch vụ xác thực với một tài khoản người dùng hiện có.

Để đăng xuất người dùng, hãy gọi signOut:.

let firebaseAuth = Auth.auth()
do {
  try firebaseAuth.signOut()
} catch let signOutError as NSError {
  print("Error signing out: %@", signOutError)
}

NSError *signOutError;
BOOL status = [[FIRAuth auth] signOut:&signOutError];
if (!status) {
  NSLog(@"Error signing out: %@", signOutError);
  return;
}

Bạn cũng có thể muốn thêm mã xử lý lỗi cho toàn bộ các lỗi xác thực. Xem phần Xử lý lỗi.