Migracja z Google Identity Toolkit na platformę Identity Platform w Google Cloud

Najnowsza wersja zestawu narzędzi Google Identity została wydana jako Identity Platform i Uwierzytelnianie Firebase. W przyszłości prace nad funkcjami w Identity Toolkit zostaną zablokowane. zupełnie nowe funkcje będą tworzone w Identity Platform i Firebase Uwierzytelnianie. Zachęcamy deweloperów Identity Toolkit do przejścia na gdy tylko będzie to możliwe w ich aplikacjach.

Nowe funkcje

Identity Platform ma już znaczne ulepszenia funkcji Zestaw narzędzi Google Identity:

• Nowa konsola administracyjna

  Platforma Identity ma nową konsolę dla deweloperów, która umożliwia wyświetlanie, modyfikowanie i usuwanie użytkowników. Może to być przydatne podczas debugowania procesów logowania i rejestracji. W konsoli możesz też konfigurować metody uwierzytelniania i dostosowywać szablony e-maili.

• Nowe metody uwierzytelniania

  Platforma Identity obsługuje standardy federacji korporacyjnej, takie jak SAML i OIDC, co umożliwia skalowanie aplikacji i usług SaaS. Platforma Identity oferuje też obsługę dostawców takich jak GitHub, Microsoft, Yahoo i innych. Możesz użyć logowania anonimowego, aby utworzyć unikalny identyfikator użytkownika bez konieczności przechodzenia przez proces logowania lub rejestracji. Dzięki temu możesz wykonywać uwierzytelnione wywołania interfejsu API tak jak w przypadku zwykłego użytkownika. Gdy użytkownik zdecyduje się założyć konto, cała aktywność zostanie zachowana przy tym samym identyfikatorze użytkownika. Jest to przydatne w sytuacjach takich jak zakupy po stronie serwera np. koszyków lub innych aplikacji, w których chcesz zaangażować użytkownika przed wysłaniem podczas rejestracji.

• Zwiększaj skalę działania, korzystając z gwarancji jakości usług i pomocy technicznej w chmurze

  Platforma Identity jest zbudowana na sprawdzonej infrastrukturze Google i zapewnia gwarancje jakości usług oraz wsparcie Google Cloud. Oznacza to, że możesz bezpiecznie skalować usługę i ufać, że Google zapewni Ci odporność, dostępność i skalowalność, których potrzebujesz.

• Dostęp do wszystkich funkcji Firebase

  Firebase to platforma mobilna, która pomaga Ci szybko tworzyć wysokiej jakości aplikacje, zwiększać grono użytkowników i zarabiać więcej pieniędzy. Firebase składa się z uzupełniających się funkcji, które możesz łączyć i dopasowywać do swoich potrzeb. Obejmuje ono infrastrukturę do: analizy na urządzeniach mobilnych, komunikacji w chmurze, bazy danych w czasie rzeczywistym, przechowywania plików, hostowania statycznych, konfiguracji zdalnej, raportowania awarii na urządzeniach mobilnych oraz testowania na urządzeniach z Androidem.

• Zaktualizowane interfejsy użytkownika

  Całkowicie przebudowaliśmy przepływy interfejsu w oparciu o najnowszy UX Google badania. Obejmuje to odzyskiwanie hasła, łączenie kont oraz nowe i dotychczasowe procesy rozwiązywania wątpliwości dotyczących kont, które często wymagają sporo czasu na kodowanie i debugowanie. Integruje się z technologią Smart Lock na hasła na Androida, co znacznie zwiększyło liczbę logowania się i rejestracji w przypadku aplikacji uczestniczących w programie. Oferuje również możliwość łatwego modyfikowania motywu dostosowania do aplikacji oraz i możliwości dostosowania Android oraz iOS zostały udostępnione na licencji open source.

• Uproszczona konfiguracja serwera

  Zaobserwowaliśmy, że po wdrożeniu Identity Toolkit wielu deweloperów nie chce wdrażać proces odzyskiwania konta e-mail, który uniemożliwił użytkownikom przywrócenie konta do swoich kont, jeśli nie pamiętają hasła. Platforma Identity może wysyłać użytkownikom e-maile z weryfikacją, prośbą o zresetowanie hasła i informacją o zmianie hasła. Tekst wiadomości można łatwo dostosowywać do potrzeb użytkowników. Nie musisz też już hostować widżety interfejsu do hostingu przekierowań. wykonywania operacji zmiany hasła.

• Nowe pakiety SDK

  Wszystkie interfejsy API serwera Identity Toolkit są teraz dostępne natywnie w każdej z naszych bibliotek klienta (Android, iOS, internet). Deweloperzy będą mogli logować się i rejestrować nowych i starych użytkowników, uzyskiwać dostęp do właściwości użytkownika, łączyć, aktualizować i usuwać konta oraz resetować hasła bez konieczności korzystania z niezmiennego interfejsu. Jeśli wolisz, możesz ręcznie stworzyć cały proces logowania i przekazać go do tego interfejsu API.

• Zarządzanie sesjami w aplikacjach mobilnych

  W ramach Identity Toolkit aplikacje tworzyły własny stan sesji na podstawie zdarzenia początkowego uwierzytelniania z Identity Toolkit. Identity Platform korzysta z usługi zaplecza, która pobiera token odświeżania wygenerowany z zdarzenia uwierzytelniania i wymienia go na tokeny dostępu ważne przez godzinę na Androida, iOS i JavaScript. Gdy użytkownik zmieni hasło, tokeny odświeżania nie mogą już generować nowych tokenów dostępu, a to oznacza wyłączenie dostępu do czasu użytkownik ponownie uwierzytelnia się na tym urządzeniu.

Różnice w funkcjach

Niektóre funkcje Identity Toolkit są obecnie niedostępne w Identity Platform, a inne zostały przeprojektowane i działają inaczej. Jeśli te funkcje są ważne dla Twojej aplikacji, możesz nie przeprowadzać migracji od razu. W wielu przypadkach te funkcje mogą nie być ważne dla Twojej aplikacji lub mogą istnieć łatwe rozwiązania alternatywne, które umożliwią Ci przeprowadzenie migracji.

Różnice po stronie serwera

Główna usługa Identity Toolkit wraz z podstawowymi interfejsami API REST, logiką weryfikacji kont i bazą danych o głównych użytkownikach przeszła tylko drobne zmiany. Jednak niektóre funkcje i sposób integracji Identity Platform do usługi Google Cloud.

• Dostawcy tożsamości

  Paypal i AOL nie są obsługiwane. Użytkownicy, którzy mają konta w tych usługach uwierzytelniania, nadal mogą logować się w Twojej aplikacji za pomocą procesu odzyskiwania hasła i ustawić hasło do swojego konta.

• Biblioteki serwera

  Obecnie dostępne są pakiety Admin SDK w językach Java, Node.js, Python, Go i C#.

• E-maile dotyczące zarządzania kontem

  Wiadomości dotyczące resetowania hasła, weryfikowania adresu e-mail i zmiany adresu e-mail mogą być wykonywane przez Firebase lub przez dewelopera z własnym serwerem poczty. Obecnie szablony e-mail są ograniczone z interfejsu użytkownika, ale można ją też dodatkowo dostosować Pakiety Admin SDK

• Potwierdzenie zmiany adresu e-mail

  Gdy użytkownik zdecyduje się zmienić adres e-mail, Identity Toolkit wyśle na nowy adres e-mail e-maila z linkiem do kontynuowania procesu zmiany adresu e-mail.

  Firebase potwierdza zmianę adresu e-mail, wysyłając na stary adres e-mail e-maila z linkiem umożliwiającym cofnięcie zmiany.

• Wdrażanie dostawcy tożsamości

  Identity Toolkit miał możliwość dodania dostawców tożsamości do Twojego logowania stopniowo je systematycznie, aby można było poeksperymentować z wpływem zapytań o pomoc. Ta funkcja została usunięta z Uwierzytelniania Firebase.

Różnice po stronie klienta

W Identity Platform funkcje dostępne w Google Identity Toolkit są podzielone na 2 komponenty:

• Pakiety SDK klienta i serwera

  W Identity Platform funkcje interfejsu REST Identity Toolkit zostały zapakowane w pakiety SDK klienta dostępne na Androida, iOS i JavaScript. możesz używać pakietu SDK do logowania się i rejestrowania użytkowników; użytkownik dostępu informacje o profilu; łączyć, aktualizować i usuwać konta; i resetować hasła. za pomocą pakietu SDK klienta, zamiast komunikować się z usługą backendu Wywołania REST.

• Widżet UI

  Wszystkie przepływy interfejsu użytkownika dotyczące logowania, rejestracji, odzyskiwania hasła i łączenia kont zostały przebudowane za pomocą pakietów SDK klienta i zapakowane w widżet logowania. Są one dostępne jako pakiety SDK typu open source na iOS, Android i WWW. Umożliwiają one pełną personalizację przepływów w sposób niedostępny w przypadku Identity Toolkit.

Dodatkowe różnice to między innymi:

• Sesje i migracja

  Ponieważ sesje są zarządzane w różny sposób w Identity Toolkit i Identity czyli platformie, czyli istniejące sesje zostaną zakończone po uaktualniam pakiet SDK i użytkownicy będą musieli ponownie się zalogować.

Zanim zaczniesz

Zanim przejdziesz z Identity Toolkit na Identity Platform, musisz:

1. Otwórz konsolę Google Cloud i wybierz projekt Identity Toolkit.

2. W Marketplace przejdź do Identity Platform i wybierz „Włącz Identity Platform”.

3. Otwórz Konta usługi. Tutaj możesz zobaczyć konto usługi, skonfigurowany wcześniej dla Identity Toolkit.

4. Obok konta usługi kliknij more_vert > Utwórz klucz. Następnie w oknie Tworzenie klucza prywatnego ustaw typ klucza na JSON i kliknij Utwórz. Plik JSON zawierający dane logowania do konta usługi to pobrane filmy. Będzie on potrzebny do zainicjowania pakietu SDK w następnym kroku.

5. Wróć do konsoli Cloud. W sekcji Dostawcy, w polu „E-mail/hasło” metoda logowania, otwórz stronę Szablony e-maili. Następnie możesz dostosować szablony aplikacji.

   W przypadku resetowania haseł, zmiany adresów e-mail lub weryfikacji adresów e-mail w Identity Toolkit należało uzyskać kod OOB z serwera Identity Toolkit, a następnie wysłać go do użytkowników e-mailem. Platforma Identity Platform wysyła e-maile na podstawie skonfigurowanych przez Ciebie szablonów bez konieczności wykonywania dodatkowych czynności.

6. Opcjonalnie: jeśli chcesz uzyskać dostęp do usług Platformy tożsamości na swoim serwerze, zainstaluj pakiet SDK Firebase.

   1. Pakiet Admin SDK Node.js możesz zainstalować za pomocą npm:

      $ npm init
      $ npm install --save firebase-admin
      

   2. W kodzie możesz uzyskać dostęp do Firebase, korzystając z:

      var admin = require('firebase-admin');
      var app = admin.initializeApp({
        credential: admin.credential.cert('path/to/serviceAccountCredentials.json')
      });
      

Następnie wykonaj czynności związane z przeniesieniem danych na platformę aplikacji: Android, iOS lub internet.

Serwery i JavaScript

Ważne zmiany

Istnieje wiele dodatkowych różnic w implementacji Identity Platform z Identity Toolkit.

• Zarządzanie sesjami internetowymi

  Wcześniej, gdy użytkownik uwierzytelniał się za pomocą Widżet Identity Toolkit, zapisany dla użytkownika plik cookie, który posłużył do zaoszczędź sesję. Plik cookie miał 2-tygodniowy okres ważności i służył do umożliwienia użytkownikowi korzystania z widżetu zarządzania kontem w celu zmiany hasła i adresu e-mail. Niektóre witryny używały tego pliku cookie do uwierzytelniania wszystkich pozostałych żądań stron w witrynie. Inne witryny używały tych plików cookie do tworzenia własnych plików cookie do zarządzania plikami cookie.

  Zarządzanie pakietami SDK klienta Identity Platform Tokeny identyfikatorów i współpracuj z backendem Identity Platform, aby zapewnić aktualność sesji. Sesje wygasają, gdy na koncie nastąpiły ważne zmiany (np. zmiana hasła). Tokeny identyfikacyjne nie są automatycznie ustawiane jako pliki cookie w kliencie internetowym i mają czas ważności wynoszący tylko godzinę. Chyba że: chcesz, aby sesje trwały tylko godzinę, tokeny tożsamości nie są odpowiednie, używany jako plik cookie do weryfikowania wszystkich żądań stron. Zamiast tego Musisz skonfigurować detektor po zalogowaniu się użytkownika, pobierz token tożsamości, zweryfikuj token i utwórz do własnych plików cookie za pomocą systemu zarządzania plikami cookie Twojej platformy.

  Czas trwania sesji pliku cookie należy ustawić na podstawie wymagań bezpieczeństwa aplikacji.

• Proces logowania w przeglądarce

  Wcześniej, gdy użytkownik inicjował logowanie, był przekierowywany na stronę accountchooser.com, aby poznać identyfikator, którego chce użyć. Platforma tożsamości Proces interfejsu użytkownika rozpoczyna się teraz od listy metod logowania, w tym adresu e-mail. która trafia do accountchooser.com w przypadku witryn i korzysta Interfejs hintRequest API został włączony na urządzeniu z Androidem. Oprócz tego adresy e-mail nie są już wymagane w interfejsie. Ułatwi to obsługę użytkowników anonimowych, użytkowników uwierzytelniania niestandardowego lub użytkowników z dostawców, którzy nie wymagają adresów e-mail.

• Widżet zarządzania kontem

  Ten widżet zawiera interfejs użytkownika, w którym mogą zmieniać adresy e-mail i zmieniać hasła pozwalają odłączyć ich konta od dostawców tożsamości. Obecnie jest w trakcie opracowywania.

• Przycisk logowania lub widżet

  Nie udostępniamy już widżetów, takich jak przycisk logowania czy karta użytkownika. Ta można łatwo utworzyć za pomocą interfejsu Firebase Authentication API.

• Brak signOutUrl

  Musisz zadzwonić pod numer firebase.auth.signOut() i przeprowadzić wywołanie zwrotne.

• Brak oobActionUrl

  Wysyłanie e-maili jest teraz obsługiwane przez Identity Platform i jest konfigurowane w konsoli Firebase.

• Personalizacja kodu CSS

  Widżet interfejsu użytkownika korzysta ze stylu Material Design Lite, który dynamicznie dodaje animacje w stylu Material Design.

Krok 1. Zmień kod serwera

1. Jeśli Twój serwer korzysta z tokenu Identity Toolkit (ważny przez 2 tygodnie) do zarządzania sesjami użytkowników w internecie, musisz przekształcić serwer w taki sposób, aby używał własnego pliku cookie sesji.

   1. Zaimplementuj punkt końcowy dla weryfikacji tokena tożsamości, oraz plik cookie sesji użytkownika. Aplikacja kliencka wysyła token Firebase ID do tego punktu końcowego.
   2. Jeśli żądanie przychodzące zawiera Twój plik cookie sesji, możesz uznanie użytkownika za uwierzytelnione. W przeciwnym razie traktuj żądanie jako brak uwierzytelnienia.
   3. Jeśli nie chcesz, aby użytkownicy utracili swoje sesje po zalogowaniu, poczekaj 2 tygodnie, aż wygasną wszystkie tokeny Identity Toolkit, lub zastosuj podwójną weryfikację tokenów w aplikacji internetowej, jak opisano poniżej w kroku 3.

2. Ponieważ tokeny identyfikatora różnią się od tokenów pakietu Identity Toolkit, musisz zaktualizować logikę weryfikacji tokenów. Zainstaluj Pakiet Admin SDK do serwera, lub, jeśli używasz języka nieobsługiwanego przez pakiet Admin SDK, pobierz bibliotekę weryfikacji tokena JWT. dla Twojego środowiska zweryfikować token.

3. Przy pierwszym wprowadzeniu tych zmian możesz nadal mieć ścieżki kodu, korzystać z tokenów Identity Toolkit. Jeśli masz aplikacje na iOS lub Androida, użytkownicy będą musieli zaktualizować je do nowej wersji, aby nowe ścieżki kodu działały. Jeśli nie chcesz zmuszać użytkowników do aktualizowania aplikacji, możesz dodać dodatkową logikę weryfikacji na serwerze, która analizuje token i określa, czy do jego weryfikacji należy użyć pakietu SDK Firebase czy pakietu SDK Identity Toolkit. Jeśli masz tylko aplikację internetową, wszystkie nowe żądania uwierzytelniania będą przenoszone do platformy Identity, dlatego musisz używać tylko metod weryfikacji za pomocą tokena tożsamości.

Zapoznaj się z dokumentacją interfejsu Web API.

Krok 2. Zaktualizuj kod HTML

1. Dodaj kod inicjowania aplikacji:

   1. Otwórz projekt w Konsola Cloud.
   2. W: providers kliknij Application Setup Details (Szczegóły konfiguracji aplikacji). Fragment kodu, który inicjuje Identity Platform.
   3. Skopiuj fragment kodu inicjowania i wklej go na swojej stronie internetowej.

2. Dodaj widżet uwierzytelniania do aplikacji:

   <script src="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.js"></script>
   <link type="text/css" rel="stylesheet" href="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.css" />
   <!-- *******************************************************************************************
      * TODO(DEVELOPER): Paste the initialization snippet from:
      * Firebase Console > Overview > Add Firebase to your web app. *
      ***************************************************************************************** -->
   <script type="text/javascript">
     // FirebaseUI config.
     var uiConfig = {
       'signInSuccessUrl': '<url-to-redirect-to-on-success>',
       'signInOptions': [
         // Leave the lines as is for the providers you want to offer your users.
         firebase.auth.GoogleAuthProvider.PROVIDER_ID,
         firebase.auth.FacebookAuthProvider.PROVIDER_ID,
         firebase.auth.TwitterAuthProvider.PROVIDER_ID,
         firebase.auth.GithubAuthProvider.PROVIDER_ID,
         firebase.auth.EmailAuthProvider.PROVIDER_ID
       ],
       // Terms of service url.
       'tosUrl': '<your-tos-url>',
     };
   
     // Initialize the FirebaseUI Widget using Firebase.
     var ui = new firebaseui.auth.AuthUI(firebase.auth());
     // The start method will wait until the DOM is loaded.
     ui.start('#firebaseui-auth-container', uiConfig);
   </script>
   

3. Usuń z aplikacji pakiet SDK Identity Toolkit.

4. Jeśli do zarządzania sesją używasz tokena ID z Identity Toolkit, musisz wprowadzić te zmiany po stronie klienta:

   1. Po zalogowaniu się w Identity Platform pobierz token identyfikacyjny, wywołując funkcję firebase.auth().currentUser.getToken().

   2. Wyślij token identyfikatora do serwera backendu, zweryfikuj go i wygeneruj przez własny plik cookie sesji.

      Nie polegaj wyłącznie na pliku cookie sesji w przypadku lub wysyłania uwierzytelnionych żądań edycji do serwera. Ty będzie musiał podać dodatkowe sfałszowanie żądania z innej witryny (CSRF) i ochrony danych.

      Jeśli platforma nie zapewnia ochrony CSRF, jednym ze sposobów będzie to uzyskanie tokena tożsamości zalogowanego użytkownika za pomocą getToken() i dołączaj token do każdego żądania (sesja jest też domyślnie wysyłany). Następnie możesz zweryfikować ten token, używając pakietu SDK Admin, a także sprawdzić plik cookie sesji, który został utworzony przez framework backendu. Utrudni to Aby zakończyły się sukcesem ataków CSRF, token identyfikatora jest przechowywany tylko przy użyciu pamięci masowej, a nie w plikach cookie.

   3. Tokeny zestawu narzędzi tożsamości są ważne przez 2 tygodnie. Możesz nadal wydawać tokeny, które będą ważne przez 2 tygodnie, lub wydłużyć lub skrócić ten czas w zależności od wymagań bezpieczeństwa aplikacji. Gdy użytkownik się wyloguje, usuń plik cookie sesji.

Krok 3. Zaktualizuj przekierowania dostawcy tożsamości

1. W konsoli Google Cloud otwórz sekcję Dostawcy.

2. W przypadku każdego obsługiwanego dostawcy logowania federacyjnego:

   1. Kliknij nazwę dostawcy logowania.
   2. Skopiuj identyfikator URI przekierowania OAuth.
   3. W konsoli dewelopera dostawcy usługi logowania zaktualizuj identyfikator URI przekierowania OAuth.

Android

Krok 1. Dodaj Identity Platform do swojej aplikacji za pomocą Firebase

1. Otwórz Cloud Console i wybierz projekt Identity Toolkit.

2. Na stronie Dostawcy kliknij Szczegóły konfiguracji aplikacji i wybierz Android i kliknij Get Started in Firebase (Rozpocznij w Firebase). W oknie Dodawanie Firebase podaj nazwę pakietu aplikacji i odcisk cyfrowy certyfikatu podpisującego, a potem kliknij Dodaj aplikację. Plik konfiguracji google-services.json zostanie pobrany na komputer.

3. Skopiuj plik konfiguracji do głównego katalogu modułu swojej aplikacji na Androida. Ten plik konfiguracji zawiera informacje o projekcie i kliencie OAuth Google.

4. W pliku build.gradle na poziomie projektu (<var>your-project</var>/build.gradle) określ nazwę pakietu aplikacji w sekcji defaultConfig:

   defaultConfig {
      …..
     applicationId "com.your-app"
   }
   

5. W pliku build.gradle na poziomie projektu dodaj też zależność, aby uwzględnić w nim wtyczkę google-services:

   buildscript {
    dependencies {
      // Add this line
      classpath 'com.google.gms:google-services:3.0.0'
    }
   }
   

6. Aby włączyć wtyczkę google-services, dodaj ten wiersz w pliku build.gradle (<var>my-project</var>/<var>app-module</var>/build.gradle) na poziomie aplikacji:

   apply plugin: 'com.android.application'
   // Add this line
   apply plugin: 'com.google.gms.google-services'
   

   Wtyczka google-services wykorzystuje plik google-services.json do konfiguracji Twoją aplikację, aby mogła korzystać z Firebase.

7. Także w pliku build.gradle na poziomie aplikacji dodaj Uwierzytelnianie Firebase. zależność:

   compile 'com.google.firebase:firebase-auth:23.0.0'
   compile 'com.google.android.gms:play-services-auth:21.2.0'
   

Krok 2. Usuń pakiet SDK Identity Toolkit

1. Usuń konfigurację Identity Toolkit z pliku AndroidManifest.xml. Te informacje są zawarte w pliku google-service.json i wczytywane przez wtyczkę google-services.
2. Usuń pakiet SDK Identity Toolkit z aplikacji.

Krok 3. Dodaj FirebaseUI do aplikacji

1. Dodaj Uwierzytelnianie FirebaseUI. do Twojej aplikacji.

2. Zastąp wywołania pakietu SDK Identity Toolkit w swojej aplikacji wywołaniami FirebaseUI.

iOS

Krok 1. Dodaj Firebase do swojej aplikacji

1. Dodaj do aplikacji pakiet SDK klienta, wykonując te polecenia:

   $ cd your-project directory
   $ pod init
   $ pod 'Firebase'
   

2. Otwórz Cloud Console i wybierz projekt Identity Toolkit.

3. Na stronie Dostawcy kliknij Szczegóły konfiguracji aplikacji, wybierz kartę iOS, a potem kliknij Rozpocznij korzystanie z Firebase. W oknie Dodawanie Firebase podaj nazwę pakietu aplikacji i odcisk cyfrowy certyfikatu podpisującego, a następnie kliknij Dodaj aplikację. Plik konfiguracji google-services.json zostanie pobrany na Twój komputer. W oknie Dodaj Firebase podaj identyfikatora pakietu i identyfikatora App Store, a następnie kliknij Dodaj aplikację. Plik konfiguracyjny GoogleService-Info.plist zostanie pobrany na komputera. Jeśli masz w projekcie wiele identyfikatorów pakietów, każdy z nich musi zostać połączona w konsoli Firebase, aby mogła mieć własną GoogleService-Info.plist.

4. Skopiuj plik konfiguracji do katalogu głównego projektu Xcode i dodaj go do wszystkie cele.

Krok 2. Usuń pakiet SDK Identity Toolkit

1. Usuń GoogleIdentityToolkit z pliku Podfile aplikacji.
2. Uruchom polecenie pod install.

Krok 3. Dodaj FirebaseUI do aplikacji

1. Dodaj do aplikacji FirebaseUI Auth.

2. W aplikacji zastąp wywołania pakietu SDK Identity Toolkit wywołaniami FirebaseUI.