最新版本的 Google Identity Toolkit 已经发布为 Firebase Authentication。 今后,Identity Toolkit 中的功能工作将冻结,所有新增功能 功能开发工作都会在 Firebase Authentication 上完成。我们建议 Identity Toolkit 开发者应尽快迁移到 Firebase Authentication 适合其应用场景;但是,Identity Toolkit 可以继续 并且不会被弃用,恕不另行通知。
新功能
Firebase Authentication 在 Google Analytics 4 媒体资源中 Google Identity Toolkit:
拥有对所有 Firebase 的访问权限
Firebase 是一个移动平台,可帮助您快速开发优质的 扩大用户群,赚取更多收益。Firebase 由 您可以自行组合和匹配功能,以满足自己的需求和 包括用于以下各项的基础架构: 移动分析, Cloud Messaging、 Realtime Database 文件存储、 静态托管、 远程配置、 移动设备崩溃报告和 Android 测试。
更新后的界面
我们根据 Google 的最新用户体验彻底重建了界面流程 。这些服务包括密码恢复、账号关联、新建/现有 账号消除歧义流程,这些流程通常需要花费大量时间来编写和 调试。它集成了 Smart Lock(密码专用) 显著提高了登录和注册转化率 支持此功能的应用 它还支持简单的主题修改以匹配您的应用,并且 最大可定制性,Android 和 iOS 已经开源
简化的服务器设置
我们让开发者能够更轻松地使用 Firebase Authentication。包含 Identity Toolkit 后,我们发现许多开发者选择不实现 使用户无法恢复的电子邮件 如果他们忘记了密码Firebase 身份验证可以 向 发送电子邮件验证、重设密码和更改密码讯息至 用户可轻松对文字进行自定义 。此外,您无需再托管 界面微件,用于托管重定向和 密码更改操作。
新版管理控制台
Firebase 提供了新的开发者控制台。 在“身份验证”部分,您可以查看、修改和删除 用户。这对于调试登录和注册流程非常有用。 通过该控制台,您还可以配置身份验证方法和 自定义电子邮件模板。
新 SDK
Identity Toolkit 的所有服务器 API 现在都以原生方式提供, 两种客户端库(Android、iOS、Web)。开发者将能够 注册和注册新老用户、访问用户属性、关联、更新和 删除账号、重置密码等,而不受固定界面的束缚。 如果您愿意,也可以手动构建自己的整个登录流程并 熟悉此 API
针对移动应用的会话管理
借助 Identity Toolkit,应用可以根据 来自 Identity Toolkit 的初始身份验证事件。Firebase Authentication 使用 用于接受刷新令牌(通过身份验证生成的)的后端服务 并使用该令牌来换取 Android、iOS 和 JavaScript。当用户更改密码时,刷新令牌不会 无法再生成新的访问令牌,从而停用访问权限,直到 用户需在该设备上重新进行身份验证。
匿名和 GitHub 身份验证
Firebase Authentication 支持两种新的身份验证类型:GitHub 和 匿名。匿名登录可用于创建唯一的用户 ID, 要求用户完成所有登录或注册过程。使用 现在您可以进行经过身份验证的 API 调用,就像 与普通用户共享内容当用户决定注册一个账号时, 会使用相同的用户 ID 保留活动。这非常适合 比如服务器端购物车或任何您希望与之互动的应用 用户,然后再通过注册流程向他们发送信息。
功能差异
Firebase 目前不支持某些 Identity Toolkit 功能 身份验证,同时其他功能已经过重新设计,运作方式也有所不同。 如果这些功能对您来说很重要,您可以选择不立即迁移 。在许多情况下,这些功能对您的应用可能并不重要 有一些简单的备用方法,使您能够继续进行迁移。
服务器端差异
核心 Identity Toolkit 服务及其底层 REST API 的账号 验证逻辑和主要用户数据库仅进行了细微更新。 不过,Firebase Authentication 的某些功能和集成方式 更改
身份提供方
不支持 PayPal 和 AOL。用户 来自这些 IDP 的账户仍可通过 密码恢复流程,并为其账号设置密码。
服务器库
目前,我们提供 Firebase Admin SDK 适用于 Java、Node.js、Python、Go 和 C#。
账号管理电子邮件
密码重置、电子邮件验证和电子邮件更改消息 或开发者的 自己的邮件服务器。目前,Firebase 电子邮件模板仅提供有限的 自定义。
电子邮件地址更改确认
在 Identity Toolkit 中,当用户决定更改其电子邮件地址时, 向新地址发送一封电子邮件,其中包含用于继续发送电子邮件的链接 地址更改流程
Firebase 通过向以下地址发送一封撤消电子邮件来确认电子邮件地址变更: 包含用于还原更改的链接的旧电子邮件地址。
IdP 发布
Identity Toolkit 能够为您的登录信息添加身份提供方 以便您可以试验其对广告的 影响 支持请求此功能已从 Firebase Authentication 中移除。
客户端差异
在 Firebase 中,Google Identity Toolkit 提供的功能分为两部分 组件:
Firebase Authentication SDK
在 Firebase Authentication 中,Identity Toolkit 工具提供的功能 REST API 已打包到适用于 Android、iOS 和 JavaScript。您可以使用 SDK 登录和注册用户;访问用户 个人资料信息;关联、更新和删除账号;并重置密码 而不是通过 REST 调用。
FirebaseUI 身份验证
管理登录、注册、密码恢复和 使用 Frebase Authentication SDK 重新构建了账号关联。 它们以适用于 iOS 和 Android 的开源 SDK 形式提供,让您能够 以 Identity Toolkit 无法实现的方式完全自定义流程。
其他差异包括:
会话和迁移
因为 Identity Toolkit 和 Firebase 中会话的管理方式不同 用户的身份验证现有会话将终止 升级 SDK,并且您的用户需要重新登录。
准备工作
在从 Identity Toolkit 迁移到 Firebase Authentication 之前, 必须
打开 Firebase 控制台,点击 导入 Google 项目,然后选择您的 Identity Toolkit 项目。
点击 settings >权限以打开 IAM 和“管理”页面
打开服务账号页。在这里,您可以看到 针对 Identity Toolkit 进行了配置。
在相应服务账号旁边,点击 more_vert创建密钥。然后,在 创建私钥对话框中,将密钥类型设置为 JSON,然后点击 创建。包含您的服务账号凭据的 JSON 文件 。您在下一步初始化 SDK 时需要用到此文件。
返回 Firebase 控制台。 在“身份验证”部分中,打开电子邮件模板页面。在本页中 自定义应用的电子邮件模板。
在 Identity Toolkit 中,当用户重置密码、更改电子邮件地址和 验证其电子邮件地址,则您需要从 Identity Toolkit 服务器,然后通过电子邮件将代码发送给用户。 Firebase 会根据您配置的模板发送电子邮件, 您需要执行一些额外操作。
可选:如果您需要在服务器上访问 Firebase 服务, 安装 Firebase SDK。
您可以使用
npm
安装 Firebase Node.js 模块:$ npm init $ npm install --save firebase-admin
在您的代码中,您可以通过以下方式访问 Firebase:
var admin = require('firebase-admin'); var app = admin.initializeApp({ credential: admin.credential.cert('path/to/serviceAccountCredentials.json') });
接下来,针对您的应用平台(Android、 iOS、Web。
服务器和 JavaScript
显著变更
在网络实施方面, 通过 Identity Toolkit 部署 Firebase。
Web 会话管理
以前,当用户使用 Identity Toolkit 微件进行身份验证时, 用户设置了用于引导会话的 Cookie。 此 Cookie 的有效期为 2 周,用于允许用户 账号管理微件可更改密码和电子邮件地址。部分 网站使用此 Cookie 验证网站上的所有其他网页请求。 其他网站也使用 Cookie 创建自己的 Cookie, 框架的 Cookie 管理系统。
Firebase 客户端 SDK 现可管理 Firebase ID 令牌 并使用 Firebase Authentication 的后端来保持会话的新鲜度。 当有重要账号更改(如用户 密码更改)。Firebase ID 令牌不会自动 在 Web 客户端上设置为 Cookie,并且生命周期仅有一小时。除非您 希望仅一小时的会话,Firebase ID 令牌 用作 Cookie 来验证您的所有网页请求。您需改为 您需要设置监听器 当用户登录时触发 获取 Firebase ID 令牌, 验证令牌,然后创建 通过框架的 Cookie 管理系统获取自己的 Cookie。
您需要根据 应用的安全需求
网页登录流程
之前,在登录时,系统会将用户重定向到
accountchooser.com
以了解用户要使用的标识符。Firebase 身份验证 界面流程现在从登录方法列表(包括电子邮件地址)开始 此选项会转到accountchooser.com
(网页版),并使用 调用 hintRequest API Android。此外,Firebase 中也不再需要电子邮件地址 界面。这样可以更轻松地支持匿名用户和自定义身份验证用户 或来自提供商不需要电子邮件地址的用户。“账号管理”微件
此 widget 提供了一个界面,可供用户更改电子邮件地址、更改 或解除其账号与身份提供方的关联。目前 。
登录按钮/微件
我们不再提供登录按钮和用户卡片等 widget。他们 使用 Firebase Authentication API 可以非常轻松地进行构建。
没有 signOutUrl
您需要调用
firebase.auth.signOut()
并处理回调。无 oobActionUrl
电子邮件发送现在由 Firebase 处理,并在 Firebase 中进行配置 控制台。
CSS 自定义
FirebaseUI 使用 Material Design Lite 样式, 动态添加 Material Design 动画。
第 1 步:更改服务器代码
如果您的服务器依赖 Identity Toolkit 令牌(有效期为两周)来 管理 Web 用户会话,您需要将服务器转换为使用自己的 会话 Cookie。
- 实现用于验证 Firebase ID 令牌的端点 并为该用户设置会话 Cookie客户端应用发送 将 Firebase ID 令牌传送至此端点。
- 如果传入请求包含您自己的会话 Cookie,您可以 将该用户视为已通过身份验证否则,请将该请求视为 未经身份验证。
- 如果您不希望任何用户丢失其现有的登录凭证 您应该等待两周来获得所有 Identity Toolkit 令牌 也可以为 Web 应用执行双令牌验证 如下文第 3 步所述。
接下来,由于 Firebase 令牌与 Identity Toolkit 不同 您必须更新令牌验证逻辑。将 Firebase Server SDK 安装到您的服务器;或者,如果您使用 Firebase Server SDK 不支持的语言,请下载 JWT 令牌验证库 为您的环境正确设置该令牌,并正确验证该令牌。
首次进行上述更新时,您可能仍会有一些代码路径 依赖于 Identity Toolkit 令牌。如果您有 iOS 或 Android 应用, 用户将需要升级到应用的新版本 新的代码路径将正常运行。如果您不想强制用户更新 您可以添加额外的服务器验证逻辑来检查 令牌,并确定是否需要使用 Firebase SDK 或 Identity Toolkit SDK 验证令牌。如果您只有一个网站 所有新的身份验证请求都将转到 因此您只需使用 Firebase 令牌 验证方法。
第 2 步:更新 HTML
将 Firebase 初始化代码添加到您的应用中:
- 在 Firebase 控制台中打开您的项目。
- 在“概览”页面上,点击添加应用,然后点击将 Firebase 添加到您的 Web 应用。此时会显示一个用于初始化 Firebase 的代码段。
- 复制初始化代码段并将其粘贴到您的网页。
添加 FirebaseUI 身份验证 :
<script src="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.js"></script> <link type="text/css" rel="stylesheet" href="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.css" /> <!-- ******************************************************************************************* * TODO(DEVELOPER): Paste the initialization snippet from: * Firebase Console > Overview > Add Firebase to your web app. * ***************************************************************************************** --> <script type="text/javascript"> // FirebaseUI config. var uiConfig = { 'signInSuccessUrl': '<url-to-redirect-to-on-success>', 'signInOptions': [ // Leave the lines as is for the providers you want to offer your users. firebase.auth.GoogleAuthProvider.PROVIDER_ID, firebase.auth.FacebookAuthProvider.PROVIDER_ID, firebase.auth.TwitterAuthProvider.PROVIDER_ID, firebase.auth.GithubAuthProvider.PROVIDER_ID, firebase.auth.EmailAuthProvider.PROVIDER_ID ], // Terms of service url. 'tosUrl': '<your-tos-url>', }; // Initialize the FirebaseUI Widget using Firebase. var ui = new firebaseui.auth.AuthUI(firebase.auth()); // The start method will wait until the DOM is loaded. ui.start('#firebaseui-auth-container', uiConfig); </script>
从您的应用中移除 Identity Toolkit SDK。
如果您依赖 Identity Toolkit ID 令牌进行会话管理, 必须在客户端进行以下更改:
使用 Firebase 成功登录后,通过以下方式获取 Firebase ID 令牌: 正在调用
firebase.auth().currentUser.getToken()
。将 Firebase ID 令牌发送到后端服务器,对其进行验证,然后发出 您自己的会话 Cookie
在对敏感数据执行敏感操作时, 操作或向服务器发送经过身份验证的修改请求。您 需要提供额外的跨网站伪造请求 (CSRF) 保护。
如果您的框架不提供 CSRF 保护,可以通过一种方式来 则攻击获取已登录用户的 Firebase ID 令牌 使用
getToken()
,并在每个请求(会话 Cookie)。然后验证该令牌 除会话 Cookie 检查外,还使用 Firebase 服务器 SDK 后端框架完成的任务这会增加 CSRF 攻击取得成功,因为 Firebase ID 令牌仅使用 而不得存储在 Cookie 中。Identity Toolkit 令牌的有效期为两周。您可能需要 继续发放两周前的令牌。 具体取决于应用的安全要求。 当用户退出登录时,清除会话 Cookie。
第 3 步:更新 IDP 重定向网址
在 Firebase 控制台中,打开“Authentication”(身份验证)部分,然后点击 登录方法标签页。
对于您支持的每个联合登录提供方,请执行以下操作:
- 点击登录提供方的名称。
- 复制 OAuth 重定向 URI。
- 在登录提供方的开发者控制台中,更新 OAuth 重定向 URI
Android
第 1 步:将 Firebase 添加到您的应用
打开 Firebase 控制台, 选择您已导入的 Identity Toolkit 项目。
在“概览”页面上,点击添加应用,然后点击将 Firebase 添加到 您的 Android 应用。在“添加 Firebase”对话框中,提供应用的软件包 名称和签名证书指纹,然后点击添加应用。通过
google-services.json
配置文件随后会下载到 计算机。将配置文件复制到 Android 应用模块的根目录。这个 配置文件包含项目和 Google OAuth 客户端信息。
在项目级
build.gradle
文件中 (<var>your-project</var>/build.gradle
),请在以下位置指定应用的软件包名称:defaultConfig
部分:defaultConfig { ….. applicationId "com.your-app" }
同样在项目级
build.gradle
文件中,添加一个要包含的依赖项 google-services 插件:buildscript { dependencies { // Add this line classpath 'com.google.gms:google-services:3.0.0' } }
在应用的应用级
build.gradle
文件中 (<var>my-project</var>/<var>app-module</var>/build.gradle
),请添加 下面这行代码以启用 google-services 插件:// Add to the bottom of the file apply plugin: 'com.google.gms.google-services'
google-services 插件使用
google-services.json
文件来配置 使用 Firebase。同样在应用级
build.gradle
文件中,添加 Firebase Authentication 依赖项:compile 'com.google.firebase:firebase-auth:23.0.0' compile 'com.google.android.gms:play-services-auth:21.2.0'
第 2 步:移除 Identity Toolkit SDK
- 从
AndroidManifest.xml
中移除 Identity Toolkit 配置 文件。此信息包含在google-service.json
文件中,并且 由 google-services 插件加载。 - 从您的应用中移除 Identity Toolkit SDK。
第 3 步:将 FirebaseUI 添加到您的应用
添加 FirebaseUI 身份验证 应用
在您的应用中,将对 Identity Toolkit SDK 的调用替换为对 FirebaseUI。
iOS
第 1 步:将 Firebase 添加到您的应用
运行以下命令,将 Firebase SDK 添加到您的应用:
$ cd your-project directory $ pod init $ pod 'Firebase'
打开 Firebase 控制台, 选择您已导入的 Identity Toolkit 项目。
在“概览”页面上,点击添加应用,然后点击将 Firebase 添加到 您的 iOS 应用。在“添加 Firebase”对话框中,提供应用的软件包 ID 和 App Store ID,然后点击添加应用。通过
GoogleService-Info.plist
配置文件随后会下载到 计算机。如果您的项目中有多个软件包 ID,请为每个软件包 ID 都必须在 Firebase 控制台中连接,这样它才能拥有自己的GoogleService-Info.plist
文件。将配置文件复制到 Xcode 项目的根目录,并将其添加到 所有目标。
第 2 步:移除 Identity Toolkit SDK
- 从应用的 Podfile 中移除
GoogleIdentityToolkit
。 - 运行
pod install
命令。
第 3 步:将 FirebaseUI 添加到您的应用
添加 FirebaseUI 身份验证 应用
在您的应用中,将对 Identity Toolkit SDK 的调用替换为对 FirebaseUI。