A maggio 2016 abbiamo rilasciato la versione più recente di Google Identity Toolkit come Firebase Authentication e nell'aprile 2019 abbiamo rilasciato Identity Platform di Google Cloud . Questi prodotti includono SDK client aggiornati, librerie UI open source, gestione delle sessioni e servizio di invio di e-mail integrato per flussi di password dimenticati.

Il 30 giugno 2020 , gli SDK documentati in questa pagina e la pagina di impostazione dell'API smetteranno di funzionare. (Gli https://identitytoolkit.googleapis.com/... e https://securetoken.googleapis.com/... , utilizzati da Identity Platform e Firebase Authentication, continueranno a funzionare.)

Per migrare un progetto esistente da Identity Toolkit, consulta la Guida alla migrazione di Identity Platform o la Guida alla migrazione di Firebase Authentication .

Questa pagina è stata tradotta dall'API Cloud Translation.

Esegui la migrazione da Google Identity Toolkit alla piattaforma Identity di Google Cloud

La versione più recente di Google Identity Toolkit è stata rilasciata come Identity Platform e Firebase Authentication. In futuro, il lavoro sulle funzionalità di Identity Toolkit verrà bloccato; tutto lo sviluppo delle nuove funzionalità avverrà su Identity Platform e Firebase Authentication. Invitiamo gli sviluppatori di Identity Toolkit a passare a queste piattaforme non appena possibile per le loro applicazioni.

Nuove funzionalità

Identity Platform ha già apportato miglioramenti significativi alle funzionalità rispetto a Google Identity Toolkit:

Nuova Console di amministrazione

Identity Platform offre una nuova console sviluppatore che ti consente di visualizzare, modificare ed eliminare i tuoi utenti. Ciò può essere utile per il debug dei flussi di accesso e registrazione. La console consente inoltre di configurare metodi di autenticazione e personalizzare i modelli email.
Nuovi metodi di autenticazione

Identity Platform supporta gli standard di federazione aziendale, come SAML e OIDC, consentendoti di scalare app e servizi SaaS. Identity Platform offre inoltre assistenza per provider come GitHub, Microsoft, Yahoo e altri. Puoi utilizzare l'accesso anonimo per creare un ID utente univoco senza richiedere all'utente di seguire alcuna procedura di accesso o registrazione. In questo modo puoi effettuare chiamate API autenticate come faresti con un normale utente. Quando un utente decide di creare un account, tutta l'attività viene conservata con lo stesso ID utente. Ciò è utile per scenari come i carrelli degli acquisti lato server o altre applicazioni in cui vuoi coinvolgere l'utente prima di inviarlo attraverso un flusso di registrazione.
Scala in sicurezza con gli accordi sul livello del servizio e l'assistenza Cloud

Identity Platform si basa sull'affidabile infrastruttura di Google e fornisce accordi sul livello del servizio e l'assistenza di Google Cloud. Ciò significa che puoi scalare il servizio in tutta sicurezza e affidarti a Google per fornire la resilienza, la disponibilità e la scalabilità di cui hai bisogno.
Accesso a tutte le funzionalità di Firebase

Firebase è una piattaforma per dispositivi mobili che consente di sviluppare rapidamente app di alta qualità, far crescere la base utenti e guadagnare di più. Firebase è costituito da funzionalità complementari che puoi combinare in base alle tue esigenze e include l'infrastruttura per: analisi mobile, messaggistica cloud, database in tempo reale, archiviazione di file, hosting statico, configurazione remota, report sugli arresti anomali mobile e test di Android .
UI aggiornati

Abbiamo completamente ricostruito i flussi della UI sulla base delle ultime ricerche sull'UX di Google. Ciò include flussi di recupero della password, collegamento degli account e flussi di disambiguazione degli account nuovi/esistenti che spesso richiedono molto tempo per la programmazione e il debug. Integra Smart Lock per password su Android, che ha migliorato in modo significativo la conversione dell'accesso e della registrazione per le app partecipanti. Supporta inoltre semplici modifiche del tema per adattarlo alla tua applicazione e, per la massima personalizzazione, le versioni Android e iOS sono state rese open source.
Configurazione del server semplificata

Con Identity Toolkit, abbiamo notato che molti sviluppatori hanno scelto di non implementare il flusso di recupero dell'email, impedendo così agli utenti di recuperare gli account se dimenticavano la password. Identity Platform può inviare all'utente messaggi di verifica email, reimpostazione della password e password modificate, il cui testo può essere facilmente personalizzato per gli utenti. Inoltre, non devi più ospitare i widget UI per ospitare reindirizzamenti e per completare le operazioni di modifica della password.
Nuovi SDK

Tutte le API server di Identity Toolkit sono ora disponibili in modo nativo con ciascuna delle nostre librerie client (Android, iOS, web). Gli sviluppatori potranno accedere e registrare utenti vecchi e nuovi, accedere alle proprietà utente, collegare, aggiornare ed eliminare account, reimpostare password e altro ancora senza essere vincolati a una UI fissa. Se preferisci, puoi creare manualmente l'intero flusso di accesso e la tua esperienza in base a questa API.
Gestione delle sessioni per le app mobile

Con Identity Toolkit, le app creavano il proprio stato della sessione in base all'evento di autenticazione iniziale di Identity Toolkit. Identity Platform utilizza un servizio di backend che prende un token di aggiornamento, estratto dall'evento di autenticazione, e lo scambia con token di accesso della durata di un'ora per Android, iOS e JavaScript. Quando un utente cambia la password, i token di aggiornamento non saranno più in grado di generare nuovi token di accesso, disabilitando in tal modo l'accesso finché l'utente non esegue nuovamente l'autenticazione sul dispositivo.

Differenze tra le funzionalità

Alcune funzionalità di Identity Toolkit non sono attualmente disponibili in Identity Platform, mentre altre funzionalità sono state riprogettate e funzionano in modo diverso. Puoi scegliere di non eseguire la migrazione immediatamente se queste funzionalità sono importanti per la tua app. In molti casi, queste funzionalità potrebbero non essere importanti per la tua app o potrebbero esserci semplici fallback che ti consentiranno di procedere con la migrazione.

Differenze lato server

Il servizio principale Identity Toolkit con le API REST sottostanti, la logica di convalida dell'account e il database utente principale hanno subito solo aggiornamenti di minore entità. Tuttavia, alcune funzionalità e il modo in cui integri Identity Platform nel tuo servizio sono cambiati.

Provider di identità

PayPal e AOL non sono supportati. Gli utenti con account di questi IdP possono comunque accedere alla tua applicazione con il flusso di recupero della password e configurare una password per il proprio account.
Librerie server

Attualmente sono disponibili SDK amministrativi per Java, Node.js, Python, Go e C#.
Email per la gestione degli account

I messaggi di reimpostazione della password, di verifica email e di modifica dell'email possono essere eseguiti da Firebase o dal server di posta dello sviluppatore. Attualmente, i modelli di email offrono solo una personalizzazione limitata dall'interfaccia utente, ma possono essere ulteriormente personalizzati con gli SDK amministrativi.
Conferma della modifica dell'indirizzo email

In Identity Toolkit, quando un utente decide di modificare il proprio indirizzo email, invia al nuovo indirizzo un'email contenente un link per continuare il flusso di modifica dell'indirizzo email.

Firebase conferma la modifica dell'indirizzo email inviando un'email di revoca al vecchio indirizzo email con un link per annullare la modifica.
Implementazione IdP

Identity Toolkit ha potuto aggiungere gradualmente i provider di identità al sistema di accesso, in modo da poter sperimentare l'impatto sulle tue richieste di assistenza. Questa funzionalità è stata rimossa in Firebase Authentication.

Differenze lato client

In Identity Platform, le funzionalità fornite da Google Identity Toolkit sono suddivise in due componenti:

SDK client e server

In Identity Platform, la funzionalità fornita dall'API REST di Identity Toolkit è stata pacchettizzata in SDK client disponibili per Android, iOS e JavaScript. Puoi utilizzare l'SDK per eseguire l'accesso e iscrivere gli utenti, accedere alle informazioni del profilo utente, collegare, aggiornare ed eliminare gli account e reimpostare le password utilizzando l'SDK client anziché comunicare con il servizio di backend tramite chiamate REST.
Widget UI

Tutti i flussi dell'interfaccia utente che gestiscono l'accesso, la registrazione, il recupero della password e il collegamento degli account sono stati ricreati utilizzando gli SDK client e pacchettizzati come widget di accesso. Sono disponibili come SDK open source per iOS, Android e web e consentono di personalizzare completamente i flussi in modi impossibili con Identity Toolkit.

Altre differenze includono:

Sessioni e migrazione

Poiché le sessioni vengono gestite in modo diverso in Identity Toolkit e in Identity Platform, le sessioni esistenti dei tuoi utenti verranno terminate dopo l'upgrade dell'SDK e gli utenti dovranno eseguire di nuovo l'accesso.

Prima di iniziare

Prima di poter eseguire la migrazione da Identity Toolkit a Identity Platform, devi:

Apri la console Cloud e seleziona il tuo progetto Identity Toolkit.
In Marketplace, vai a Identity Platform e seleziona "Abilita Identity Platform"
Apri la Account di servizio. Qui puoi vedere l'account di servizio configurato in precedenza per Identity Toolkit.
Accanto all'account di servizio, fai clic su > Crea chiave. Quindi, nella finestra di dialogo Crea chiave privata, imposta il tipo di chiave su JSON e fai clic su Crea. Viene scaricato automaticamente un file JSON contenente le credenziali del tuo account di servizio. Ti servirà per inizializzare l'SDK nel passaggio successivo.

Importante: questo file contiene informazioni sensibili, tra cui la chiave di crittografia privata dell'account di servizio, e viene generato una sola volta. Se perdi o divulga la chiave, puoi utilizzare la pagina di gestione dell'account di servizio per creare una nuova chiave JSON per l'account di servizio.
Torna alla console Cloud. Nella sezione Provider, nel metodo di accesso "Email/password", apri la pagina Modelli email. Dopodiché puoi personalizzare i modelli dell'app.

In Identity Toolkit, quando gli utenti reimpostavano le password, modificavano gli indirizzi email o verificavano i loro indirizzi email, dovevi ottenere un codice OOB dal server Identity Toolkit e inviare il codice agli utenti via email. Identity Platform invia le email in base ai modelli che hai configurato senza che siano richieste ulteriori azioni.

Facoltativo: se devi accedere ai servizi Identity Platform sul tuo server, installa l'SDK Firebase.

Puoi installare l'SDK Admin di Node.js con npm:

$ npm init
$ npm install --save firebase-admin

Nel codice, puoi accedere a Firebase utilizzando:

var admin = require('firebase-admin');
var app = admin.initializeApp({
  credential: admin.credential.cert('path/to/serviceAccountCredentials.json')
});

A questo punto, completa i passaggi di migrazione per la piattaforma della tua app: Android, iOS, web.

Server e JavaScript

Modifiche rilevanti

Esistono una serie di ulteriori differenze nell'implementazione web di Identity Platform rispetto a Identity Toolkit.

Gestione delle sessioni web

In precedenza, quando un utente si autenticava mediante il widget Identity Toolkit, veniva impostato un cookie per l'utente, che veniva utilizzato per avviare la sessione. Questo cookie aveva una durata di due settimane ed è stato utilizzato per consentire all'utente di utilizzare il widget di gestione dell'account per modificare la password e l'indirizzo email. Alcuni siti hanno usato questo cookie per autenticare tutte le altre richieste di pagine sul sito. Altri siti hanno utilizzato il cookie per creare i propri cookie tramite il sistema di gestione dei cookie del proprio framework.

Gli SDK client di Identity Platform ora gestiscono i token ID e funzionano con il backend di Identity Platforms per mantenere aggiornata la sessione. Il backend fa scadere le sessioni quando si verificano importanti modifiche all'account (ad esempio modifiche della password degli utenti). I token ID non vengono impostati automaticamente come cookie nel client web e hanno una durata di un'ora. A meno che tu non voglia sessioni di una sola ora, i token ID non sono adatti a essere utilizzati come cookie per convalidare tutte le richieste di pagina. Dovrai invece configurare un listener per l'accesso dell'utente, ottenere il token ID, convalidare il token e creare il tuo cookie tramite il sistema di gestione dei cookie del tuo framework.

Devi impostare la durata della sessione del cookie in base alle esigenze di sicurezza della tua applicazione.
Flusso di accesso sul web

In precedenza, gli utenti venivano reindirizzati a accountchooser.com quando veniva avviato l'accesso, per sapere quale identificatore voleva utilizzare. Il flusso dell'interfaccia utente di Identity Platform ora inizia con un elenco di metodi di accesso, inclusa un'opzione email che rimanda a accountchooser.com per il web e utilizza l'API hintRequest su Android. Inoltre, gli indirizzi email non sono più obbligatori nell'interfaccia utente. In questo modo sarà più semplice supportare utenti anonimi, utenti di autenticazione personalizzati o utenti provenienti da provider per i quali gli indirizzi email non sono richiesti.
Widget di gestione dell'account

Questo widget fornisce agli utenti un'interfaccia utente per cambiare gli indirizzi email, cambiare la password o scollegare i propri account dai provider di identità. Attualmente, è in fase di sviluppo.
Widget/pulsante di accesso

Widget come il pulsante di accesso e la scheda utente non sono più disponibili. Possono essere create molto facilmente utilizzando l'API Firebase Authentication.
Nessun URL di SignOut

Dovrai chiamare il numero firebase.auth.signOut() e gestire la richiamata.
Nessun oobActionUrl

L'invio delle email è ora gestito da Identity Platform ed è configurato nella console di Firebase.
Personalizzazione CSS

Il widget UI utilizza lo stile Material Design Lite, che aggiunge dinamicamente le animazioni di Material Design.

Passaggio 1: modifica il codice del server

Se il tuo server si basa sul token Identity Toolkit (valido per due settimane) per gestire le sessioni utente web, devi convertire il server in modo che utilizzi il proprio cookie di sessione.
1. Implementa un endpoint per la convalida del token ID e l'impostazione del cookie di sessione per l'utente. L'app client invia il token ID Firebase a questo endpoint.
2. Se la richiesta in entrata contiene il tuo cookie di sessione, puoi considerare l'utente autenticato. In caso contrario, considera la richiesta non autenticata.
3. Se non vuoi che nessuno dei tuoi utenti perda le sessioni esistenti a cui ha eseguito l'accesso, attendi due settimane per la scadenza di tutti i token Identity Toolkit oppure esegui la convalida del doppio token per la tua applicazione web come descritto di seguito nel passaggio 3.
Poiché i token ID sono diversi dai token di Identity Toolkit, devi aggiornare la logica di convalida dei token. Installa l'SDK Admin sul tuo server oppure, se utilizzi un linguaggio non supportato da questo SDK, scarica una libreria per la convalida dei token JWT per il tuo ambiente e convalida il token in modo appropriato.
Quando esegui per la prima volta gli aggiornamenti riportati sopra, potresti ancora avere percorsi di codice basati sui token di Identity Toolkit. Se hai app per iOS o Android, gli utenti dovranno eseguire l'upgrade alla nuova versione dell'app affinché i nuovi percorsi del codice funzionino. Se non vuoi obbligare gli utenti ad aggiornare l'app, puoi aggiungere un'ulteriore logica di convalida del server che esamini il token e stabilisca se deve utilizzare l'SDK Firebase o l'SDK Identity Toolkit per convalidare il token. Se hai solo un'applicazione web, tutte le nuove richieste di autenticazione verranno trasferite su Identity Platform e, di conseguenza, dovrai utilizzare solo i metodi di verifica del token ID.

Consulta la pagina Riferimento API web.

Passaggio 2: aggiorna il codice HTML

Aggiungi il codice di inizializzazione all'app:
1. Apri il progetto nella console Cloud.
2. Nella pagina provider, fai clic su Application Setup Details (Dettagli di configurazione applicazione). Viene visualizzato uno snippet di codice che inizializza Identity Platform.
3. Copia e incolla lo snippet di inizializzazione nella pagina web.

Aggiungi il widget di autenticazione alla tua app:

<script src="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.js"></script>
<link type="text/css" rel="stylesheet" href="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.css" />
<!-- *******************************************************************************************
   * TODO(DEVELOPER): Paste the initialization snippet from:
   * Firebase Console > Overview > Add Firebase to your web app. *
   ***************************************************************************************** -->
<script type="text/javascript">
  // FirebaseUI config.
  var uiConfig = {
    'signInSuccessUrl': '<url-to-redirect-to-on-success>',
    'signInOptions': [
      // Leave the lines as is for the providers you want to offer your users.
      firebase.auth.GoogleAuthProvider.PROVIDER_ID,
      firebase.auth.FacebookAuthProvider.PROVIDER_ID,
      firebase.auth.TwitterAuthProvider.PROVIDER_ID,
      firebase.auth.GithubAuthProvider.PROVIDER_ID,
      firebase.auth.EmailAuthProvider.PROVIDER_ID
    ],
    // Terms of service url.
    'tosUrl': '<your-tos-url>',
  };

  // Initialize the FirebaseUI Widget using Firebase.
  var ui = new firebaseui.auth.AuthUI(firebase.auth());
  // The start method will wait until the DOM is loaded.
  ui.start('#firebaseui-auth-container', uiConfig);
</script>

Rimuovi l'SDK Identity Toolkit dalla tua app.
Se hai fatto affidamento sul token ID Identity Toolkit per la gestione delle sessioni, devi apportare le seguenti modifiche sul lato client:
1. Dopo aver eseguito l'accesso con Identity Platform, ricevi un token ID chiamando firebase.auth().currentUser.getToken().
2. Invia il token ID al server di backend, convalidalo e invia il tuo cookie di sessione.
  
  Non fare affidamento esclusivamente sul cookie di sessione quando esegui operazioni sensibili o invii al tuo server richieste di modifica autenticate. Dovrai fornire un'ulteriore protezione dalle richieste di falsificazione tra siti (CSRF).
  
  Se il tuo framework non fornisce la protezione CSRF, un modo per prevenire un attacco è ottenere un token ID per l'utente che ha eseguito l'accesso con getToken() e includere il token in ogni richiesta (per impostazione predefinita viene inviato anche il cookie di sessione). Devi quindi convalidare il token utilizzando l'SDK Admin e il controllo dei cookie di sessione, completato dal framework di backend. In questo modo sarà più difficile per gli attacchi CSRF avere successo, poiché il token ID viene memorizzato solo tramite spazio di archiviazione web e mai in un cookie.
3. I token di Identity Toolkit sono validi per due settimane. Puoi continuare a emettere token delle ultime due settimane oppure aumentare o ridurre la durata dell'app in base ai requisiti di sicurezza della tua app. Quando un utente esce dall'account, cancella il cookie di sessione.

Passaggio 3: aggiorna gli URL di reindirizzamento IdP

Nella console Cloud, apri la sezione Provider.
Per ogni provider di accesso federato che supporti, segui questi passaggi:
1. Fai clic sul nome del provider di accesso.
2. Copia l'URI di reindirizzamento OAuth.
3. Nella console per gli sviluppatori del provider di accesso, aggiorna l'URI di reindirizzamento OAuth.

Android

Passaggio 1: aggiungi Identity Platform alla tua app con Firebase

Apri Cloud Console e seleziona il tuo progetto Identity Toolkit.
Nella pagina Provider, fai clic su Dettagli di configurazione applicazione, seleziona la scheda Android e fai clic su Inizia a utilizzare Firebase. Nella finestra di dialogo Aggiungi Firebase, fornisci il nome del pacchetto dell'app e l'impronta del certificato di firma e fai clic su Aggiungi app. Il file di configurazione google-services.json viene quindi scaricato sul computer.
Copia il file di configurazione nella directory principale del modulo dell'app Android. Questo file di configurazione contiene le informazioni sul progetto e sul client OAuth di Google.
Nel file build.gradle a livello di progetto (<var>your-project</var>/build.gradle), specifica il nome del pacchetto dell'app nella sezione defaultConfig:
```
defaultConfig {
   …..
  applicationId "com.your-app"
}
```
Sempre nel file build.gradle a livello di progetto, aggiungi una dipendenza per includere il plug-in google-services:
```
buildscript {
 dependencies {
   // Add this line
   classpath 'com.google.gms:google-services:3.0.0'
 }
}
```
Nel file build.gradle a livello di app (<var>my-project</var>/<var>app-module</var>/build.gradle) dell'app, aggiungi la seguente riga dopo il plug-in Android Gradle per attivare il plug-in google-services:
```
apply plugin: 'com.android.application'
// Add this line
apply plugin: 'com.google.gms.google-services'
```
Il plug-in google-services utilizza il file google-services.json per configurare l'applicazione per l'utilizzo di Firebase.

Sempre nel file build.gradle a livello di app, aggiungi la dipendenza Firebase Authentication:

compile 'com.google.firebase:firebase-auth:23.0.0'
compile 'com.google.android.gms:play-services-auth:21.2.0'

Passaggio 2: rimuovi l'SDK Identity Toolkit

Rimuovi la configurazione di Identity Toolkit dal file AndroidManifest.xml. Queste informazioni vengono incluse nel file google-service.json e caricate dal plug-in google-services.
Rimuovi l'SDK Identity Toolkit dalla tua app.

Passaggio 3: aggiungi FirebaseUI alla tua app

Aggiungi FirebaseUI Auth alla tua app.
Nella tua app, sostituisci le chiamate all'SDK Identity Toolkit con chiamate a FirebaseUI.

iOS

Passaggio 1: aggiungi Firebase alla tua app

Aggiungi l'SDK client all'app eseguendo questi comandi:

$ cd your-project directory
$ pod init
$ pod 'Firebase'

Apri Cloud Console e seleziona il tuo progetto Identity Toolkit.
Nella pagina Provider, fai clic su Dettagli di configurazione dell'applicazione, seleziona la scheda iOS, quindi fai clic su Inizia a utilizzare Firebase. Nella finestra di dialogo Aggiungi Firebase, inserisci il nome del pacchetto dell'app e l'impronta digitale del certificato di firma e fai clic su Aggiungi app. Il file di configurazione di google-services.json viene quindi scaricato sul computer. Nella finestra di dialogo Aggiungi Firebase, fornisci l'ID pacchetto e l'ID App Store della tua app, quindi fai clic su Aggiungi app. Il file di configurazione GoogleService-Info.plist viene scaricato sul computer. Se nel progetto sono presenti più ID pacchetto, ciascuno di essi deve essere collegato nella console Firebase in modo da poter avere il proprio file GoogleService-Info.plist.
Copia il file di configurazione nella directory radice del progetto Xcode e aggiungilo a tutte le destinazioni.

Passaggio 2: rimuovi l'SDK Identity Toolkit

Rimuovi GoogleIdentityToolkit dal pod dell'app.
Esegui il comando pod install.

Passaggio 3: aggiungi FirebaseUI alla tua app

Aggiungi FirebaseUI Auth alla tua app.
Nella tua app, sostituisci le chiamate all'SDK Identity Toolkit con chiamate a FirebaseUI.