使用 Microsoft 和 Unity 进行身份验证

如需让您的用户能够使用 OAuth 提供方（如 Microsoft Azure Active Directory）进行 Firebase 身份验证，您可以使用 Firebase SDK 执行端到端登录流程，将基于 Web 的通用 OAuth 登录机制集成到您的应用中。由于此流程需要使用基于电话的 Firebase SDK，因此它仅支持 Android 和 Apple 平台。

准备工作

在使用 Firebase Authentication 之前，您需要：

注册 Unity 项目并将其配置为使用 Firebase。
- 如果您的 Unity 项目已在使用 Firebase，那么该项目已经注册并已配置为使用 Firebase。
- 如果您没有 Unity 项目，则可以下载示例应用。
将 Firebase Unity SDK（具体而言是 FirebaseAuth.unitypackage）添加到您的 Unity 项目中。

请注意，为了将 Firebase 添加到 Unity 项目，需要在 Firebase 控制台中和打开的 Unity 项目中执行若干任务（例如，从控制台下载 Firebase 配置文件，然后将配置文件移到 Unity 项目中）。

访问 `Firebase.Auth.FirebaseAuth` 类

FirebaseAuth 类是所有 API 调用都需要通过的门户，此类可通过 FirebaseAuth.DefaultInstance 访问。

Firebase.Auth.FirebaseAuth auth = Firebase.Auth.FirebaseAuth.DefaultInstance;

使用 Firebase SDK 处理登录流程

如需使用 Firebase SDK 处理登录流程，请按以下步骤操作：

构建一个配置了适用于 Microsoft 的提供方 ID 的 FederatedOAuthProviderData 实例。

Firebase.Auth.FederatedOAuthProviderData providerData =
  new Firebase.Auth.FederatedOAuthProviderData();
providerData.ProviderId = Firebase.Auth.MicrosoftAuthProvider.ProviderId;

可选：指定您希望通过 OAuth 请求发送的其他自定义 OAuth 参数。

providerData.CustomParameters = new Dictionary<string,string>;

// Prompt user to re-authenticate to Microsoft.
providerData.CustomParameters.Add("prompt", "login");

// Target specific email with login hint.
providerData.CustomParameters.Add("login_hint",
    "user@firstadd.onmicrosoft.com");

如需查看 Microsoft 支持的参数，请参阅 Microsoft OAuth 文档。请注意，您不能使用 setCustomParameters() 传递 Firebase 必需的参数。这些参数包括 client_id、response_type、redirect_uri、state、scope 和 response_mode。

如需仅允许来自特定 Azure AD 租户的用户登录应用，可以使用 Azure AD 租户的易记域名或该租户的 GUID 标识符。为此，您可以在自定义参数对象中指定“tenant”字段。

// Optional "tenant" parameter in case you are using an Azure AD tenant.
// eg. '8eaef023-2b34-4da1-9baa-8bc8c9d6a490' or 'contoso.onmicrosoft.com'
// or "common" for tenant-independent tokens.
// The default value is "common".
providerData.CustomParameters.Add("tenant", "TENANT_ID");

可选：指定您希望向身份验证提供方申请获取的基本个人资料以外的额外 OAuth 2.0 范围。
```
providerData.Scopes = new List<string>();
providerData.Scopes.Add("mail.read");
providerData.Scopes.Add("calendars.read");
```
如需了解详情，请参阅 Microsoft 权限和许可文档。

提供方数据配置完成后，请使用它来创建 FederatedOAuthProvider。

// Construct a FederatedOAuthProvider for use in Auth methods.
Firebase.Auth.FederatedOAuthProvider provider = new Firebase.Auth.FederatedOAuthProvider();
provider.SetProviderData(providerData);

使用 Auth 提供方对象进行 Firebase 身份验证。请注意，与其他 FirebaseAuth 操作不同，此操作会弹出可供用户输入其凭据的网页视图，从而控制您的界面。

如需启动登录流程，请调用 SignInAndRetrieveDataWithCredentialAsync：

auth.SignInWithProviderAsync(provider).ContinueOnMainThread(task => {
    if (task.IsCanceled) {
        Debug.LogError("SignInWithProviderAsync was canceled.");
        return;
    }
    if (task.IsFaulted) {
        Debug.LogError("SignInWithProviderAsync encountered an error: " +
          task.Exception);
        return;
    }

    Firebase.Auth.AuthResult authResult = task.Result;
    Firebase.Auth.FirebaseUser user = authResult.User;
    Debug.LogFormat("User signed in successfully: {0} ({1})",
        user.DisplayName, user.UserId);
});

使用 OAuth 访问令牌，您可以调用 Microsoft Graph API。

与 Firebase Authentication 支持的其他提供方不同，Microsoft 不提供照片网址，您必须通过 Microsoft Graph API 来请求个人资料照片的二进制数据。

以上示例侧重的是登录流程。除此之外，您也可以使用 LinkWithProviderAsync 将 Microsoft Azure Active Directory 提供方与现有用户相关联。例如，您可以将多个提供方关联至同一个用户，让用户可以使用任意一个服务提供方进行登录。

user.LinkWithProviderAsync(provider).ContinueOnMainThread(task => {
    if (task.IsCanceled) {
        Debug.LogError("LinkWithProviderAsync was canceled.");
        return;
    }
    if (task.IsFaulted) {
        Debug.LogError("LinkWithProviderAsync encountered an error: "
          + task.Exception);
        return;
    }

    Firebase.Auth.AuthResult authResult = task.Result;
    Firebase.Auth.FirebaseUser user = authResult.User;
    Debug.LogFormat("User linked successfully: {0} ({1})",
        user.DisplayName, user.UserId);
});

上述模式同样适用于 ReauthenticateWithProviderAsync，对于要求用户必须在近期内登录过才能执行的敏感操作，可使用它来检索新的凭据。

user.ReauthenticateWithProviderAsync(provider).ContinueOnMainThread(task => {
    if (task.IsCanceled) {
        Debug.LogError("ReauthenticateWithProviderAsync was canceled.");
        return;
    }
    if (task.IsFaulted) {
        Debug.LogError(
        "ReauthenticateWithProviderAsync encountered an error: " +
            task.Exception);
        return;
    }

    Firebase.Auth.AuthResult authResult = task.Result;
    Firebase.Auth.FirebaseUser user = authResult.User;
    Debug.LogFormat("User reauthenticated successfully: {0} ({1})",
        user.DisplayName, user.UserId);
});

Firebase 支持的其他 OAuth 提供方（如 Google、Facebook 和 Twitter）可以通过基于 OAuth 访问令牌的凭据直接实现登录，Firebase Auth 则不同。由于 Firebase Auth 服务器无法验证 Microsoft 等提供方的 OAuth 访问令牌的目标设备，因此 Firebase Auth 不支持通过这些提供方直接登录。这是一项关键的安全要求，不满足该要求的应用和网站可能会受到重放攻击的威胁。在这种情况下，为某个项目（攻击者）获取的 Microsoft OAuth 访问令牌可能被用来登录另一个项目（受害者）。因此，Firebase Auth 改为提供另一种功能，即使用在 Firebase 控制台中配置的 OAuth 客户端 ID 和密钥来处理整个 OAuth 流程和授权代码交换。由于授权代码只能与特定客户端 ID/密钥结合使用，因此为某个项目获取的授权代码不能用于另一个项目。

如果需要在不受支持的环境中使用这些提供方，则需使用第三方 OAuth 库和 Firebase 自定义身份验证。前者在通过提供方进行身份验证时需要用到，后者则用于将提供方的凭据交换成自定义令牌。

后续步骤

在用户首次登录后，系统会创建一个新的用户账号，并将其与该用户登录时使用的凭据（即用户名和密码、电话号码或者身份验证提供方信息）相关联。此新账号存储在您的 Firebase 项目中，无论用户采用何种方式登录，您项目中的每个应用都可以使用此账号来识别用户。

在您的应用中，您可以从 Firebase.Auth.FirebaseUser 对象获取用户的基本个人资料信息：

Firebase.Auth.FirebaseUser user = auth.CurrentUser;
if (user != null) {
  string name = user.DisplayName;
  string email = user.Email;
  System.Uri photo_url = user.PhotoUrl;
  // The user's Id, unique to the Firebase project.
  // Do NOT use this value to authenticate with your backend server, if you
  // have one; use User.TokenAsync() instead.
  string uid = user.UserId;
}

在您的 Firebase Realtime Database 和 Cloud Storage 安全规则中，您可以从 auth 变量获取已登录用户的唯一用户 ID，然后利用此 ID 来控制用户可以访问哪些数据。

您可以通过将身份验证提供方凭据关联至现有用户账号，让用户可以使用多个身份验证提供方登录您的应用。

如需将用户退出登录，请调用 SignOut()：

auth.SignOut();