En mayo de 2016, lanzamos la versión más reciente de Google Identity Toolkit como Firebase Authentication y, en abril de 2019, lanzamos la plataforma de identidad de Google Cloud . Estos productos incluyen SDK de cliente actualizados, bibliotecas de interfaz de usuario de código abierto, administración de sesiones y servicio de envío de correo electrónico integrado para los flujos de contraseñas olvidadas.

El 30 de junio de 2020 , los SDK documentados en esta página y la página de configuración de API dejarán de funcionar. (Los https://identitytoolkit.googleapis.com/... y https://securetoken.googleapis.com/... , utilizados por Identity Platform y Firebase Authentication, seguirán funcionando).

Para migrar un proyecto existente desde Identity Toolkit, consulte la guía de migración de Identity Platform o la guía de migración de Firebase Authentication .

Se usó la API de Cloud Translation para traducir esta página.

Migra de Google Identity Toolkit a Identity Platform de Google Cloud

Se lanzó la versión más reciente de Google Identity Toolkit como Identity Platform y Firebase Authentication. En el futuro, se congelará el trabajo de funciones de Identity Toolkit; todo el desarrollo de funciones nuevas se llevará a cabo en Identity Platform y Firebase Authentication. Recomendamos a los desarrolladores de Identity Toolkit que migren a estas plataformas en cuanto sea posible para sus aplicaciones.

Nuevas funciones

Identity Platform ya tiene mejoras significativas en sus funciones en comparación con Google Identity Toolkit:

Nueva Consola del administrador

Identity Platform tiene una nueva consola para desarrolladores, que te permite ver, modificar y borrar usuarios. Esto puede ser útil para depurar tus flujos de acceso y registro. La consola también te permite configurar métodos de autenticación y personalizar plantillas de correo electrónico.
Nuevos métodos de autenticación

Identity Platform admite estándares de federación empresarial, como SAML y OIDC, lo que te permite escalar aplicaciones y servicios de SaaS. Identity Platform también ofrece asistencia para proveedores como GitHub, Microsoft, Yahoo y muchos más. Puedes usar el acceso anónimo para crear un ID de usuario único sin que el usuario deba pasar por ningún proceso de acceso o registro. Esto te permite realizar llamadas autenticadas a la API como lo harías con un usuario común. Cuando el usuario decide registrarse para obtener una cuenta, toda la actividad se conserva con el mismo ID de usuario. Esto es valioso para situaciones como carritos de compras del servidor y otras aplicaciones en las que deseas atraer al usuario antes de enviarle un flujo de registro.
Escala con confianza con los Acuerdos de Nivel de Servicio y la Asistencia de Cloud

Identity Platform se basa en la infraestructura de confianza de Google y proporciona Acuerdos de Nivel de Servicio y asistencia de Google Cloud. Esto significa que puedes escalar tu servicio con confianza y confiar en que Google te proporcionará la resiliencia, la disponibilidad y la escalabilidad que necesitas.
Acceso a todo Firebase

Firebase es una plataforma para dispositivos móviles que te permite desarrollar apps de alta calidad, hacer crecer tu base de usuarios y ganar más dinero con rapidez. Firebase cuenta con funciones complementarias que puedes combinar según tus necesidades. Además, incluye infraestructura para estadísticas para dispositivos móviles, envío de mensajes a través de la nube, base de datos en tiempo real, almacenamiento de archivos, alojamiento estático, configuración remota, informe de fallas de dispositivos móviles y pruebas de Android.
IUs actualizadas

Reconstruimos por completo los flujos de la IU en función de la investigación de UX más reciente de Google. Esto incluye la recuperación de contraseñas, la vinculación de cuentas y los flujos de desambiguación de cuentas nuevos o existentes que suelen tardar mucho tiempo en codificar y depurar. Integra Smart Lock para contraseñas en Android, lo que mejoró significativamente la conversión de acceso y registro de las apps participantes. También admite modificaciones de temas sencillas para que coincidan con tu aplicación y, para obtener la máxima personalización, las versiones de iOS y Android pasaron a ser de código abierto.
Configuración del servidor simplificada

Con Identity Toolkit, observamos que muchos desarrolladores decidieron no implementar el flujo de recuperación de correo electrónico, lo que impidió que sus usuarios recuperaran sus cuentas si olvidaban la contraseña. Identity Platform puede enviar mensajes de verificación por correo electrónico, restablecimiento de contraseña y cambio de contraseña al usuario, y el texto se puede personalizar fácilmente para tus usuarios. Además, ya no es necesario alojar los widgets de IU para alojar redireccionamientos y completar operaciones de cambio de contraseña.
SDKs nuevos

Todas las API del servidor de Identity Toolkit ahora están disponibles de forma nativa con cada una de nuestras bibliotecas cliente (Android, iOS y la Web). Los desarrolladores podrán acceder y registrar usuarios nuevos y antiguos, acceder a propiedades de usuarios, vincular, actualizar y borrar cuentas, restablecer contraseñas y mucho más sin depender de una IU fija. Si lo prefieres, puedes compilar de forma manual tu propio flujo de acceso y experiencia completos a partir de esta API.
Administración de sesiones en aplicaciones para dispositivos móviles

Con Identity Toolkit, las apps creaban su propio estado de sesión en función del evento de autenticación inicial de Identity Toolkit. Identity Platform usa un servicio de backend que toma un token de actualización, acuñado del evento de autenticación, y lo intercambia por tokens de acceso de una hora para Android, iOS y JavaScript. Cuando un usuario cambia su contraseña, los tokens de actualización ya no podrán generar nuevos tokens de acceso, por lo que se inhabilitará el acceso hasta que el usuario vuelva a autenticarse en ese dispositivo.

Diferencias entre funciones

Algunas funciones de Identity Toolkit no están disponibles actualmente en Identity Platform, mientras que otras se rediseñaron y funcionan de manera diferente. Es posible que elijas no migrar de inmediato si estas funciones son importantes para tu app. En muchos casos, es posible que estas funciones no sean importantes para tu app o que haya resguardos sencillos que te permitan continuar con la migración.

Diferencias en el servidor

El servicio principal de Identity Toolkit con sus APIs de REST subyacentes, lógica de validación de cuentas y base de datos principal de usuarios sufrió solo pequeñas actualizaciones. Sin embargo, algunas características y la forma en que integras Identity Platform en tu servicio cambiaron.

Proveedores de identidad

No se admiten PayPal ni AOL. Los usuarios con cuentas de estos IdP aún pueden acceder a tu aplicación con el flujo de recuperación de contraseñas y configurar una contraseña para su cuenta.
Bibliotecas de servidores

En la actualidad, hay SDK de Admin disponibles para Java, Node.js, Python, Go y C#.
Correos electrónicos de administración de la cuenta

Firebase o el servidor de correo del desarrollador puede llevar a cabo los mensajes de restablecimiento de contraseñas, verificación de correo electrónico y cambio de correo electrónico. Actualmente, las plantillas de correo electrónico solo ofrecen una personalización limitada de la IU, pero se pueden personalizar aún más con los SDK de Admin.
Confirmación de cambio de dirección de correo electrónico

En Identity Toolkit, cuando un usuario decide cambiar su dirección de correo electrónico, envía un correo electrónico a la dirección nueva que tiene un vínculo para continuar con el flujo de cambio de dirección de correo electrónico.

Para confirmar el cambio de dirección de correo electrónico, Firebase envía un correo de revocación a la dirección de correo electrónico anterior con un vínculo para revertir el cambio.
Lanzamiento de IdP

Identity Toolkit tenía la capacidad de agregar proveedores de identidad a tu sistema de acceso de forma gradual para que pudieras experimentar con el impacto en las solicitudes de asistencia. Se quitó esta función de Firebase Authentication.

Diferencias del cliente

En Identity Platform, las funciones que proporciona Google Identity Toolkit se dividen en dos componentes:

SDKs de clientes y servidores

En Identity Platform, la funcionalidad que proporciona la API de REST de Identity Toolkit se empaqueta en los SDK cliente disponibles para Android, iOS y JavaScript. Puedes usar el SDK para acceder y registrar usuarios; acceder a la información del perfil de usuario; vincular, actualizar y borrar cuentas, y restablecer contraseñas con el SDK cliente en lugar de comunicarte con el servicio de backend a través de llamadas de REST.
Widget de la IU

Todos los flujos de la IU que administran el acceso, el registro, la recuperación de contraseñas y la vinculación de cuentas se volvieron a compilar con los SDK de cliente y se empaquetaron como un widget de acceso. Están disponibles como SDK de código abierto para iOS, Android y la Web, y te permiten personalizar completamente los flujos de formas que no son posibles con Identity Toolkit.

Entre las diferencias adicionales, se incluyen las siguientes:

Sesiones y migración

Debido a que las sesiones se administran de manera diferente en Identity Toolkit y en Identity Platform, las sesiones existentes de tus usuarios se finalizarán cuando se actualice el SDK, y los usuarios deberán volver a acceder.

Antes de comenzar

Antes de migrar de Identity Toolkit a Identity Platform, debes hacer lo siguiente:

Abre la consola de Cloud y selecciona tu proyecto de Identity Toolkit.
En Marketplace, navega a Identity Platform y selecciona “Habilitar Identity Platform”.
Abre la Cuentas de servicio. Aquí puedes ver la cuenta de servicio que configuraste antes para Identity Toolkit.
Junto a la cuenta de servicio, haz clic en > Crear clave. Luego, en el diálogo Crear clave privada, configura el tipo de clave en JSON y haz clic en Crear. Se descargará por ti un archivo JSON que contiene las credenciales de tu cuenta de servicio. Lo necesitarás para inicializar el SDK en el siguiente paso.

Importante: Este archivo contiene información sensible, como la clave de encriptación privada de tu cuenta de servicio, y solo se genera una vez. Si pierdes o filtras la clave, puedes usar la página de administración de cuentas de servicio y crear una clave JSON nueva para la cuenta de servicio.
Regresa a la consola de Cloud. En la sección Proveedores, dentro del método de acceso "Correo electrónico/Contraseña", abre la página Plantillas de correo electrónico. Luego, puedes personalizar las plantillas de tu app.

En Identity Toolkit, cuando los usuarios restablecían contraseñas, cambiaban de dirección de correo electrónico o verificaban sus direcciones de correo electrónico, debías obtener un código OOB del servidor de Identity Toolkit y, luego, enviarlo a los usuarios por correo electrónico. Identity Platform envía correos electrónicos basados en las plantillas que configuras sin necesidad de realizar acciones adicionales.
Opcional: Si necesitas acceder a los servicios de Identity Platform en tu servidor, instala el SDK de Firebase.
1. Puedes instalar el SDK de Admin de Node.js con npm:
```
$ npm init
$ npm install --save firebase-admin
```
2. En tu código, puedes acceder a Firebase con lo siguiente:
```
var admin = require('firebase-admin');
var app = admin.initializeApp({
  credential: admin.credential.cert('path/to/serviceAccountCredentials.json')
});
```

A continuación, completa los pasos de migración para la plataforma de tu app: Android, iOS y la Web.

Servidores y JavaScript

Cambios destacados

Hay una serie de diferencias adicionales en la implementación web de Identity Platform en comparación con Identity Toolkit.

Administración de sesiones web

Antes, cuando un usuario se autenticaba con el widget de Identity Toolkit, se configuraba una cookie para el usuario que se usaba para iniciar la sesión. Esta cookie tuvo una vida útil de dos semanas y se usó para permitir que el usuario usara el widget de administración de cuentas para cambiar la contraseña y la dirección de correo electrónico. Algunos sitios usaban esta cookie para autenticar todas las demás solicitudes de páginas del sitio. Otros sitios usaron las cookies para crear sus propias cookies a través del sistema de administración de cookies de su framework.

Los SDK cliente de Identity Platform ahora administran tokens de ID y funcionan con el backend de Identity Platform para mantener actualizada la sesión. El backend expira las sesiones cuando se producen cambios importantes en la cuenta (como cambios de contraseña del usuario). Los tokens de ID no se configuran automáticamente como cookies en el cliente web y solo tienen una vida útil de una hora. A menos que desees sesiones de solo una hora, no es apropiado que los tokens de ID se usen como cookie para validar todas las solicitudes de página. En su lugar, deberás configurar un objeto de escucha para cuando el usuario acceda, obtener el token de ID, validar el token y crear tu propia cookie mediante el sistema de administración de cookies de tu framework.

Deberás configurar el ciclo de vida de la sesión de tu cookie según las necesidades de seguridad de tu aplicación.
Flujo de acceso web

Antes, se redireccionaba a los usuarios a accountchooser.com cuando se iniciaba el acceso para saber qué identificador quería usar el usuario. El flujo de la IU de Identity Platform ahora comienza con una lista de métodos de acceso, incluida una opción de correo electrónico que va a accountchooser.com para la Web y usa la API de hintRequest en Android. Además, ya no se requieren direcciones de correo electrónico en la IU. Esto facilitará la compatibilidad con usuarios anónimos, usuarios de autenticación personalizada o usuarios de proveedores que no requieren direcciones de correo electrónico.
Widget de administración de la cuenta

Este widget proporciona una IU para que los usuarios cambien las direcciones de correo electrónico y las contraseñas, o que desvinculen sus cuentas de los proveedores de identidad. Actualmente, está en desarrollo.
Widget o botón de acceso

Ya no se proporcionan widgets, como el botón de acceso y la tarjeta de usuario. Se pueden compilar muy fácilmente con la API de Firebase Authentication.
Sin signOutUrl

Deberás llamar a firebase.auth.signOut() y procesar la devolución de llamada.
Sin oobActionUrl

Identity Platform ahora controla el envío de correos electrónicos y se configura en Firebase console.
Personalización de CSS

El widget de la IU usa el estilo de Material Design Lite, que agrega animaciones de Material Design de forma dinámica.

Paso 1: Cambia el código del servidor

Si tu servidor usa el token de Identity Toolkit (válido durante dos semanas) para administrar sesiones de usuario web, debes convertir el servidor para que use su propia cookie de sesión.
1. Implementa un extremo para validar el token de ID y configurar la cookie de sesión para el usuario. La app cliente envía el token de ID de Firebase a este extremo.
2. Si la solicitud entrante contiene tu propia cookie de sesión, puedes considerar al usuario autenticado. De lo contrario, trata la solicitud como no autenticada.
3. Si no quieres que ninguno de los usuarios pierda las sesiones a las que accedió, debes esperar dos semanas hasta que venzan todos los tokens de Identity Toolkit, o bien realizar la validación de doble token de tu aplicación web, como se describe a continuación en el paso 3.
A continuación, debido a que los tokens de ID son diferentes de los tokens de Identity Toolkit, debes actualizar la lógica de validación de tokens. Instala el SDK de Admin en tu servidor o, si usas un lenguaje que no sea compatible con este SDK, descarga una biblioteca de validación de tokens JWT para tu entorno y valida el token de forma correcta.
Cuando realices las actualizaciones anteriores por primera vez, es posible que aún tengas instrucciones de código que dependen de los tokens de Identity Toolkit. Si tienes aplicaciones para iOS o Android, los usuarios deberán actualizarlas a la nueva versión de la app para que funcionen las nuevas instrucciones de código. Si no quieres forzar a los usuarios a actualizar la app, puedes agregar lógica de validación del servidor adicional que examine el token y determine si debe usar el SDK de Firebase o el SDK de Identity Toolkit para validarlo. Si solo tienes una aplicación web, todas las solicitudes de autenticación nuevas se cambiarán a Identity Platform y, por lo tanto, solo necesitas usar los métodos de verificación de token de ID.

Consulta la Referencia de la API web.

Paso 2: Actualiza tu código HTML

Agrega el código de inicialización a la app:
1. Abre tu proyecto en la consola de Cloud.
2. En la página Proveedores, haz clic en Detalles de configuración de la aplicación. Se muestra un fragmento de código que inicializa Identity Platform.
3. Copia y pega el fragmento de inicialización en tu página web.

Agrega el widget de Authentication a tu app:

<script src="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.js"></script>
<link type="text/css" rel="stylesheet" href="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.css" />
<!-- *******************************************************************************************
   * TODO(DEVELOPER): Paste the initialization snippet from:
   * Firebase Console > Overview > Add Firebase to your web app. *
   ***************************************************************************************** -->
<script type="text/javascript">
  // FirebaseUI config.
  var uiConfig = {
    'signInSuccessUrl': '<url-to-redirect-to-on-success>',
    'signInOptions': [
      // Leave the lines as is for the providers you want to offer your users.
      firebase.auth.GoogleAuthProvider.PROVIDER_ID,
      firebase.auth.FacebookAuthProvider.PROVIDER_ID,
      firebase.auth.TwitterAuthProvider.PROVIDER_ID,
      firebase.auth.GithubAuthProvider.PROVIDER_ID,
      firebase.auth.EmailAuthProvider.PROVIDER_ID
    ],
    // Terms of service url.
    'tosUrl': '<your-tos-url>',
  };

  // Initialize the FirebaseUI Widget using Firebase.
  var ui = new firebaseui.auth.AuthUI(firebase.auth());
  // The start method will wait until the DOM is loaded.
  ui.start('#firebaseui-auth-container', uiConfig);
</script>

Quita el SDK de Identity Toolkit de tu app.
Si dependías del token de ID de Identity Toolkit para la administración de sesiones, debes realizar los siguientes cambios en el lado del cliente:
1. Después de acceder correctamente con Identity Platform, llama a firebase.auth().currentUser.getToken() para obtener un token de ID.
2. Envía el token de ID al servidor de backend, valídalo y emite tu propia cookie de sesión.
  
  No confíes solo en la cookie de sesión cuando realices operaciones sensibles o envíes solicitudes de edición autenticadas a tu servidor. Deberás proporcionar protección adicional contra la falsificación de solicitudes entre sitios (CSRF).
  
  Si tu framework no proporciona protección contra CSRF, una forma de evitar un ataque sería obtener un token de ID para el usuario que accedió con getToken() e incluir el token con cada solicitud (la cookie de sesión también se enviará de forma predeterminada). Luego, debes validar ese token con el SDK de Admin, además de la verificación de cookies de sesión, que completó tu framework de backend. Esto dificultará que los ataques CSRF tengan éxito, ya que el token de ID solo se almacena con el almacenamiento web y nunca en una cookie.
3. Los tokens de Identity Toolkit son válidos por dos semanas. Es posible que quieras seguir emitiendo tokens que duren dos semanas, o bien extenderlos o acortarlos según los requisitos de seguridad de tu app. Cuando un usuario salga de su cuenta, borra la cookie de sesión.

Paso 3: Actualiza las URLs de redireccionamiento del IdP

En Cloud Console, abre la sección Proveedores.
Para cada proveedor de acceso federado que admitas, haz lo siguiente:
1. Haz clic en el nombre del proveedor de acceso.
2. Copia el URI de redireccionamiento de OAuth.
3. En la consola para desarrolladores del proveedor de acceso, actualiza el URI de redireccionamiento de OAuth.

Android

Paso 1: Agrega Identity Platform a tu app con Firebase

Abre la consola de Cloud y selecciona tu proyecto de Identity Toolkit.
En la página Proveedores, haz clic en Detalles de configuración de la aplicación, selecciona la pestaña Android y, luego, haz clic en Comenzar en Firebase. En el diálogo Agregar Firebase, proporciona el nombre del paquete de tu app y la huella digital del certificado de firma, y haz clic en Agregar app. Luego, se descargará el archivo de configuración google-services.json en tu computadora.
Copia el archivo de configuración en el directorio raíz del módulo de tu app para Android. Este archivo de configuración contiene información del proyecto y del cliente de OAuth de Google.
En el archivo build.gradle de nivel de proyecto (<var>your-project</var>/build.gradle), especifica el nombre del paquete de tu app en la sección defaultConfig:
```
defaultConfig {
   …..
  applicationId "com.your-app"
}
```
También en tu archivo build.gradle de nivel de proyecto, agrega una dependencia para incluir el complemento de google-services:
```
buildscript {
 dependencies {
   // Add this line
   classpath 'com.google.gms:google-services:3.0.0'
 }
}
```
En el archivo build.gradle de nivel de app (<var>my-project</var>/<var>app-module</var>/build.gradle) de tu app, agrega la siguiente línea después del complemento de Android para Gradle para habilitar el complemento de google-services:
```
apply plugin: 'com.android.application'
// Add this line
apply plugin: 'com.google.gms.google-services'
```
El complemento de google-services usa el archivo google-services.json a fin de configurar tu aplicación para que use Firebase.

También, en el archivo build.gradle de nivel de app, agrega la dependencia de Firebase Authentication:

compile 'com.google.firebase:firebase-auth:23.0.0'
compile 'com.google.android.gms:play-services-auth:21.2.0'

Paso 2: Quita el SDK de Identity Toolkit

Quita la configuración de Identity Toolkit del archivo AndroidManifest.xml. Esta información se incluye en el archivo google-service.json y la carga el complemento de google-services.
Quita el SDK de Identity Toolkit de tu app.

Paso 3: Agrega FirebaseUI a tu app

Agrega FirebaseUI Auth a tu app.
En tu app, reemplaza las llamadas al SDK de Identity Toolkit con llamadas a FirebaseUI.

iOS

Paso 1: Agrega Firebase a tu app

Para agregar el SDK cliente a tu app, ejecuta los siguientes comandos:
```
$ cd your-project directory
$ pod init
$ pod 'Firebase'
```
Abre la consola de Cloud y selecciona tu proyecto de Identity Toolkit.
En la página Proveedores, haz clic en Detalles de configuración de la aplicación, selecciona la pestaña iOS y, luego, haz clic en Comenzar en Firebase. En el diálogo Agregar Firebase, proporciona el nombre del paquete de tu app y la huella digital del certificado de firma, y haz clic en Agregar app. Luego, se descargará el archivo de configuración google-services.json en tu computadora. En el diálogo Agregar Firebase, proporciona el ID del paquete de tu app y el ID de App Store y, luego, haz clic en Agregar app. El archivo de configuración GoogleService-Info.plist se descarga en tu computadora. Si tienes varios IDs de paquete en tu proyecto, cada uno de ellos debe estar conectado en Firebase console para que pueda tener su propio archivo GoogleService-Info.plist.
Copia el archivo de configuración en la raíz de tu proyecto de Xcode y agrégalo a todos los destinos.

Paso 2: Quita el SDK de Identity Toolkit

Quita GoogleIdentityToolkit del Podfile de tu app.
Ejecuta el comando pod install.

Paso 3: Agrega FirebaseUI a tu app

Agrega FirebaseUI Auth a tu app.
En tu app, reemplaza las llamadas al SDK de Identity Toolkit con llamadas a FirebaseUI.