La dernière version de Google Identity Toolkit a été publiée en tant que Firebase Authentication. À l'avenir, le travail sur les fonctionnalités d'Identity Toolkit sera bloqué et tout le développement de nouvelles fonctionnalités sur Firebase Authentication. Nous encourageons les développeurs Identity Toolkit à passer à Firebase Authentication dès que possible pour leurs applications. Cependant, Identity Toolkit continue de fonctionner et ne sera pas abandonné sans annonce supplémentaire.
Nouvelles fonctionnalités
Firebase Authentication offre déjà des fonctionnalités importantes par rapport à Google Identity Toolkit:
Accès à tout Firebase
Firebase est une plate-forme mobile qui vous permet de développer rapidement des applications de haute qualité, d'élargir votre base d'utilisateurs et d'accroître vos revenus. Firebase propose des fonctionnalités complémentaires que vous pouvez combiner en fonction de vos besoins et inclut une infrastructure pour l'analyse mobile, la messagerie cloud, la base de données en temps réel, le stockage de fichiers, l'hébergement statique, la configuration à distance, les rapports de plantage pour Android et les tests pour Android.
Interfaces utilisateur mises à jour
Nous avons entièrement recompilé les flux de l'interface utilisateur sur la base des dernières recherches de Google sur l'expérience utilisateur. Cela inclut la récupération de mot de passe, l'association de comptes et les flux de clarification des comptes nouveaux/existants, qui prennent souvent beaucoup de temps à coder et à déboguer. Elle intègre Smart Lock pour les mots de passe sur Android, ce qui a considérablement amélioré les conversions de connexion et d'inscription pour les applications participantes. Il permet également de modifier facilement les thèmes afin de les adapter à votre application, et les versions Android et iOS sont Open Source pour offrir une personnalisation maximale.
Une configuration de serveur simplifiée
Nous avons facilité l'utilisation de Firebase Authentication pour les développeurs. Avec Identity Toolkit, nous avons constaté que de nombreux développeurs choisissaient de ne pas mettre en œuvre le flux de récupération des e-mails, ce qui empêchait les utilisateurs de récupérer leurs comptes s'ils oubliaient leur mot de passe. Firebase Authentication peut envoyer à l'utilisateur des messages de validation de l'adresse e-mail, de réinitialisation et de modification du mot de passe. Le texte peut être facilement personnalisé pour vos utilisateurs. De plus, vous n'avez plus besoin d'héberger les widgets UI pour héberger des redirections et effectuer des opérations de modification de mot de passe.
Nouvelle console d'administration
Firebase dispose d'une nouvelle console pour les développeurs, et la section "Authentification" vous permet d'afficher, de modifier et de supprimer vos utilisateurs. Cela peut vous être d'une grande aide pour déboguer vos flux de connexion et d'inscription. La console vous permet également de configurer des méthodes d'authentification et de personnaliser des modèles d'e-mail.
Nouveaux SDK
Toutes les API de serveur d'Identity Toolkit sont désormais disponibles de manière native avec chacune de nos bibliothèques clientes (Android, iOS, Web). Les développeurs pourront se connecter et inscrire des utilisateurs, qu'ils soient anciens ou nouveaux, accéder aux propriétés utilisateur, associer, mettre à jour et supprimer des comptes, réinitialiser des mots de passe et plus encore, sans être liés à une interface utilisateur fixe. Si vous préférez, vous pouvez créer manuellement l'intégralité de votre flux de connexion et de votre expérience en plus de cette API.
Gestion des sessions pour les applications mobiles
Avec Identity Toolkit, les applications créaient leur propre état de session en fonction de l'événement d'authentification initial d'Identity Toolkit. Firebase Auth utilise un service de backend qui reçoit un jeton d'actualisation, issu de l'événement d'authentification, et l'échange contre des jetons d'accès d'une heure pour Android, iOS et JavaScript. Lorsqu'un utilisateur modifie son mot de passe, les jetons d'actualisation ne peuvent plus générer de nouveaux jetons d'accès, désactivant ainsi l'accès jusqu'à ce que l'utilisateur se réauthentifie sur cet appareil.
Authentification anonyme et GitHub
Firebase Authentication accepte deux nouveaux types d'authentification: GitHub et anonyme. La connexion anonyme permet de créer un ID utilisateur unique sans que l'utilisateur ait à passer par un processus de connexion ou d'inscription. Avec un utilisateur anonyme, vous pouvez désormais effectuer des appels d'API authentifiés, comme vous le feriez avec un utilisateur standard. Lorsque l'utilisateur décide de créer un compte, toute l'activité est conservée avec le même ID utilisateur. C'est la solution idéale dans des situations telles qu'un panier côté serveur ou toute application dans laquelle vous souhaitez susciter l'engagement de l'utilisateur avant de l'envoyer via un processus d'inscription.
Différences entre les fonctionnalités
Certaines fonctionnalités Identity Toolkit ne sont actuellement pas disponibles dans Firebase Authentication, tandis que d'autres ont été repensées et fonctionnent différemment. Vous pouvez choisir de ne pas migrer immédiatement si ces fonctionnalités sont importantes pour votre application. Dans de nombreux cas, elles ne sont pas forcément importantes pour votre application, ou des solutions de secours simples peuvent vous permettre de procéder à la migration.
Différences côté serveur
Le service principal de Cloud Identity Toolkit, ainsi que ses API REST sous-jacentes, sa logique de validation de compte et sa base de données utilisateur principale, n'ont fait l'objet que de mises à jour mineures. Cependant, certaines fonctionnalités et la manière dont vous intégrez Firebase Authentication à votre service ont changé.
Fournisseurs d'identité
PayPal et AOL ne sont pas acceptés. Les utilisateurs disposant de comptes provenant de ces IdP peuvent toujours se connecter à votre application via le flux de récupération de mot de passe et configurer un mot de passe pour leur compte.
Bibliothèques serveur
Il existe actuellement des SDK Admin Firebase pour Java, Node.js, Python, Go et C#.
E-mails de gestion du compte
Les messages de réinitialisation du mot de passe, de validation de l'adresse e-mail et de modification de l'adresse e-mail peuvent être effectués par Firebase ou depuis le serveur de messagerie du développeur. Actuellement, les modèles d'e-mail Firebase n'offrent qu'une personnalisation limitée.
Confirmation du changement d'adresse e-mail
Dans Identity Toolkit, lorsqu'un utilisateur décide de modifier son adresse e-mail, il envoie un e-mail à la nouvelle adresse contenant un lien pour poursuivre le flux de changement d'adresse e-mail.
Firebase confirme le changement d'adresse e-mail en envoyant un e-mail de révocation contenant un lien permettant d'annuler la modification.
Déploiement IdP
Identity Toolkit pouvait ajouter progressivement des fournisseurs d'identité à votre système de connexion, afin que vous puissiez tester l'impact sur vos demandes d'assistance. Cette fonctionnalité a été supprimée dans Firebase Authentication.
Différences côté client
Dans Firebase, les fonctionnalités fournies par Google Identity Toolkit sont divisées en deux composants:
SDK Firebase Authentication
Dans Firebase Authentication, les fonctionnalités fournies par l'API REST d'Identity Toolkit ont été empaquetées dans les SDK clients disponibles pour Android, iOS et JavaScript. Vous pouvez utiliser le SDK pour vous connecter et inscrire des utilisateurs, accéder aux informations d'un profil utilisateur, associer, mettre à jour et supprimer des comptes, et réinitialiser les mots de passe à l'aide du SDK client au lieu de communiquer avec le service backend via des appels REST.
Authentification FirebaseUI
Tous les flux d'interface utilisateur qui gèrent la connexion, l'inscription, la récupération de mot de passe et l'association de comptes ont été recompilés à l'aide des SDK Frebase Authentication. Ils sont disponibles en tant que SDK Open Source pour iOS et Android afin de vous permettre de personnaliser complètement les flux, ce qui n'est pas possible avec Identity Toolkit.
Autres différences:
Sessions et migration
Étant donné que les sessions sont gérées différemment dans Identity Toolkit et dans Firebase Authentication, les sessions existantes de vos utilisateurs seront arrêtées lors de la mise à niveau du SDK et ils devront se reconnecter.
Avant de commencer
Avant de pouvoir migrer d'Identity Toolkit vers Firebase Authentication, vous devez
Ouvrez la console Firebase, cliquez sur Importer un projet Google et sélectionnez votre projet Identity Toolkit.
Cliquez sur settings > Autorisations pour ouvrir la page "IAM et administration".
Ouvrez la Comptes de service. Le compte de service que vous avez précédemment configuré pour Identity Toolkit s'affiche ici.
À côté du compte de service, cliquez sur more_vert > Créer une clé. Ensuite, dans la boîte de dialogue Créer une clé privée, définissez le type de clé sur JSON, puis cliquez sur Créer. Un fichier JSON contenant les identifiants de votre compte de service est téléchargé pour vous. Vous en aurez besoin pour initialiser le SDK à l'étape suivante.
Revenez à la console Firebase. Dans la section "Authentification", ouvrez la page Modèles d'e-mail. Sur cette page, personnalisez les modèles d'e-mail de votre application.
Dans Identity Toolkit, lorsque les utilisateurs réinitialisent des mots de passe, modifient des adresses e-mail et valident leur adresse e-mail, vous deviez obtenir un code OOB auprès du serveur Identity Toolkit, puis envoyer ce code par e-mail aux utilisateurs. Firebase envoie des e-mails en fonction des modèles que vous configurez, sans aucune action supplémentaire requise.
Facultatif: Si vous devez accéder aux services Firebase sur votre serveur, installez le SDK Firebase.
Vous pouvez installer le module Firebase Node.js avec
npm
:$ npm init $ npm install --save firebase-admin
Dans votre code, vous pouvez accéder à Firebase en utilisant:
var admin = require('firebase-admin'); var app = admin.initializeApp({ credential: admin.credential.cert('path/to/serviceAccountCredentials.json') });
Suivez ensuite la procédure de migration pour la plate-forme de votre application: Android, iOS ou Web.
Serveurs et JavaScript
Changements notables
Il existe un certain nombre de différences supplémentaires dans l'implémentation Web de Firebase par rapport à Identity Toolkit.
Gestion des sessions Web
Auparavant, lorsqu'un utilisateur s'authentifiait à l'aide du widget Identity Toolkit, un cookie était défini pour l'utilisateur et utilisé pour amorcer la session. Ce cookie a une durée de vie de deux semaines et a été utilisé pour permettre à l'utilisateur de modifier le mot de passe et l'adresse e-mail à l'aide du widget de gestion de compte. Certains sites utilisaient ce cookie pour authentifier toutes les autres requêtes de page du site. D'autres sites l'ont utilisé pour créer leurs propres cookies via le système de gestion des cookies de leur framework.
Les SDK clients Firebase gèrent désormais les jetons d'identification Firebase et fonctionnent avec le backend de Firebase Authentication pour maintenir la session à jour. Le backend fait expirer les sessions lorsque des modifications importantes concernant le compte (telles que des changements de mot de passe utilisateur) se sont produites. Les jetons d'identification Firebase ne sont pas automatiquement définis en tant que cookies sur le client Web et n'ont qu'une durée de vie d'une heure. À moins que vous ne vouliez des sessions d'une heure seulement, les jetons d'ID Firebase ne peuvent pas être utilisés comme cookie pour valider toutes vos requêtes de page. À la place, vous devez configurer un écouteur pour les cas où l'utilisateur se connecte, obtenir le jeton d'ID Firebase, valider le jeton et créer votre propre cookie via le système de gestion des cookies de votre framework.
Vous devez définir la durée de vie de la session de votre cookie en fonction des besoins de sécurité de votre application.
Parcours de connexion Web
Auparavant, les utilisateurs étaient redirigés vers
accountchooser.com
lorsqu'ils se connectaient pour connaître l'identifiant qu'ils souhaitaient utiliser. Le flux de l'interface utilisateur Firebase Auth commence désormais par une liste de méthodes de connexion, y compris une option d'e-mail qui redirige versaccountchooser.com
pour le Web et utilise l'API hintRequest sur Android. En outre, les adresses e-mail ne sont plus nécessaires dans l'interface utilisateur de Firebase. Il sera ainsi plus facile d'accepter les utilisateurs anonymes, les utilisateurs avec authentification personnalisée ou les utilisateurs de fournisseurs qui n'ont pas besoin d'adresse e-mail.Widget de gestion du compte
Ce widget fournit aux utilisateurs une UI leur permettant de modifier des adresses e-mail, de modifier des mots de passe ou de dissocier leurs comptes de fournisseurs d'identité. Il est en cours de développement.
Bouton/Widget de connexion
Les widgets tels que le bouton de connexion et la fiche utilisateur ne sont plus fournis. Vous pouvez les créer très facilement à l'aide de l'API Firebase Authentication.
Aucune URL de déconnexion
Vous devrez appeler
firebase.auth.signOut()
et gérer le rappel.Aucune valeur oobActionUrl
L'envoi d'e-mails est désormais géré par Firebase et configuré dans la console Firebase.
Personnalisation CSS
FirebaseUI utilise le style Material Design Lite, qui ajoute de manière dynamique des animations Material Design.
Étape 1: Modifier le code du serveur
Si votre serveur s'appuie sur le jeton Identity Toolkit (valable deux semaines) pour gérer les sessions utilisateur Web, vous devez le convertir afin qu'il utilise son propre cookie de session.
- Mettez en œuvre un point de terminaison pour valider le jeton d'ID Firebase et définir le cookie de session pour l'utilisateur. L'application cliente envoie le jeton d'ID Firebase à ce point de terminaison.
- Si la requête entrante contient votre propre cookie de session, vous pouvez considérer que l'utilisateur est authentifié. Sinon, traitez la requête comme non authentifiée.
- Si vous ne souhaitez pas que vos utilisateurs perdent leurs sessions connectées existantes, vous devez attendre deux semaines pour que tous les jetons Identity Toolkit expirent. Vous pouvez également effectuer la validation à deux jetons pour votre application Web, comme décrit ci-dessous à l'étape 3.
Ensuite, comme les jetons Firebase sont différents des jetons Identity Toolkit, vous devez mettre à jour votre logique de validation des jetons. Installez le SDK Firebase Server sur votre serveur ou, si vous utilisez un langage non compatible avec le SDK Firebase Server, téléchargez une bibliothèque de validation de jetons JWT pour votre environnement et validez le jeton correctement.
Lorsque vous effectuez les mises à jour ci-dessus pour la première fois, il est possible que vous ayez encore des chemins de code qui reposent sur des jetons Identity Toolkit. Si vous disposez d'applications iOS ou Android, les utilisateurs devront passer à la nouvelle version pour que les nouveaux chemins de code fonctionnent. Si vous ne souhaitez pas forcer vos utilisateurs à mettre à jour votre application, vous pouvez ajouter une logique de validation de serveur supplémentaire qui examine le jeton et détermine s'il doit utiliser le SDK Firebase ou le SDK Identity Toolkit pour valider le jeton. Si vous ne disposez que d'une application Web, toutes les nouvelles requêtes d'authentification seront transférées vers Firebase. Par conséquent, vous ne devrez utiliser que les méthodes de validation des jetons Firebase.
Consultez la documentation de référence de l'API Web Firebase.
Étape 2: Mettez à jour votre code HTML
Ajoutez le code d'initialisation Firebase à votre application:
- Ouvrez votre projet dans la console Firebase.
- Sur la page "Vue d'ensemble", cliquez sur Ajouter une application, puis sur Ajouter Firebase à votre application Web. Un extrait de code qui initialise Firebase s'affiche.
- Copiez et collez l'extrait d'initialisation sur votre page Web.
Ajoutez l'authentification FirebaseUI à votre application:
<script src="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.js"></script> <link type="text/css" rel="stylesheet" href="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.css" /> <!-- ******************************************************************************************* * TODO(DEVELOPER): Paste the initialization snippet from: * Firebase Console > Overview > Add Firebase to your web app. * ***************************************************************************************** --> <script type="text/javascript"> // FirebaseUI config. var uiConfig = { 'signInSuccessUrl': '<url-to-redirect-to-on-success>', 'signInOptions': [ // Leave the lines as is for the providers you want to offer your users. firebase.auth.GoogleAuthProvider.PROVIDER_ID, firebase.auth.FacebookAuthProvider.PROVIDER_ID, firebase.auth.TwitterAuthProvider.PROVIDER_ID, firebase.auth.GithubAuthProvider.PROVIDER_ID, firebase.auth.EmailAuthProvider.PROVIDER_ID ], // Terms of service url. 'tosUrl': '<your-tos-url>', }; // Initialize the FirebaseUI Widget using Firebase. var ui = new firebaseui.auth.AuthUI(firebase.auth()); // The start method will wait until the DOM is loaded. ui.start('#firebaseui-auth-container', uiConfig); </script>
Supprimez le SDK Identity Toolkit de votre application.
Si vous avez utilisé le jeton d'ID Identity Toolkit pour la gestion des sessions, vous devez apporter les modifications suivantes côté client:
Une fois connecté à Firebase, obtenez un jeton d'ID Firebase en appelant
firebase.auth().currentUser.getToken()
.Envoyez le jeton d'identification Firebase au serveur backend, validez-le et émettez votre propre cookie de session.
Ne vous fiez pas uniquement au cookie de session lorsque vous effectuez des opérations sensibles ou envoyez des requêtes de modification authentifiées à votre serveur. Vous devrez fournir une protection supplémentaire contre la falsification de requête intersites (CSRF).
Si votre framework n'offre pas de protection CSRF, l'un des moyens d'empêcher une attaque consiste à obtenir un jeton d'ID Firebase pour l'utilisateur connecté avec
getToken()
et à l'inclure dans chaque requête (le cookie de session sera également envoyé par défaut). Vous devez ensuite valider ce jeton à l'aide du SDK du serveur Firebase en plus de la vérification des cookies de la session, effectuée par votre framework backend. Il est donc plus difficile pour les attaques CSRF de réussir, car le jeton d'ID Firebase n'est stocké qu'à l'aide d'un espace de stockage Web et jamais dans un cookie.Les jetons Identity Toolkit sont valides pendant deux semaines. Vous pouvez continuer à émettre des jetons qui durent deux semaines, ou les rallonger ou les raccourcir en fonction des exigences de sécurité de votre application. Lorsqu'un utilisateur se déconnecte, effacez le cookie de session.
Étape 3: Mettez à jour les URL de redirection IdP
Dans la console Firebase, ouvrez la section "Authentication" (Authentification) et cliquez sur l'onglet Sign-in Method (Méthode de connexion).
Pour chaque fournisseur de connexion fédérée que vous acceptez, procédez comme suit:
- Cliquez sur le nom du fournisseur de connexion.
- Copiez l'URI de redirection OAuth.
- Dans la console pour les développeurs du fournisseur de connexion, mettez à jour l'URI de redirection OAuth.
Android
Étape 1: Ajoutez Firebase à votre application
Ouvrez la console Firebase, puis sélectionnez votre projet Identity Toolkit que vous avez déjà importé.
Sur la page "Vue d'ensemble", cliquez sur Ajouter une application, puis sur Ajouter Firebase à votre application Android. Dans la boîte de dialogue "Ajouter Firebase", indiquez le nom du package et l'empreinte du certificat de signature de votre application, puis cliquez sur Ajouter une application. Le fichier de configuration
google-services.json
est ensuite téléchargé sur votre ordinateur.Copiez le fichier de configuration dans le répertoire racine du module de votre application Android. Ce fichier de configuration contient des informations sur le projet et le client Google OAuth.
Dans le fichier
build.gradle
au niveau du projet (<var>your-project</var>/build.gradle
), spécifiez le nom du package de votre application dans la sectiondefaultConfig
:defaultConfig { ….. applicationId "com.your-app" }
Toujours dans le fichier
build.gradle
au niveau du projet, ajoutez une dépendance pour inclure le plug-in google-services:buildscript { dependencies { // Add this line classpath 'com.google.gms:google-services:3.0.0' } }
Dans le fichier
build.gradle
au niveau de l'application (<var>my-project</var>/<var>app-module</var>/build.gradle
) de votre application, ajoutez la ligne suivante en bas pour activer le plug-in google-services:// Add to the bottom of the file apply plugin: 'com.google.gms.google-services'
Le plug-in google-services utilise le fichier
google-services.json
pour configurer votre application afin qu'elle utilise Firebase.Toujours dans le fichier
build.gradle
au niveau de l'application, ajoutez la dépendance Firebase Authentication:compile 'com.google.firebase:firebase-auth:22.3.1' compile 'com.google.android.gms:play-services-auth:21.0.0'
Étape 2: Supprimez le SDK Identity Toolkit
- Supprimez la configuration Identity Toolkit du fichier
AndroidManifest.xml
. Ces informations sont incluses dans le fichiergoogle-service.json
et chargées par le plug-in google-services. - Supprimez le SDK Identity Toolkit de votre application.
Étape 3: Ajoutez FirebaseUI à votre application
Ajoutez l'authentification FirebaseUI à votre application.
Dans votre application, remplacez les appels au SDK Identity Toolkit par des appels à FirebaseUI.
iOS
Étape 1: Ajoutez Firebase à votre application
Ajoutez le SDK Firebase à votre application en exécutant les commandes suivantes:
$ cd your-project directory $ pod init $ pod 'Firebase'
Ouvrez la console Firebase, puis sélectionnez votre projet Identity Toolkit que vous avez déjà importé.
Sur la page "Vue d'ensemble", cliquez sur Ajouter une application, puis sur Ajouter Firebase à votre application iOS. Dans la boîte de dialogue "Ajouter Firebase", indiquez l'ID de bundle et l'ID App Store de votre application, puis cliquez sur Ajouter une application. Le fichier de configuration
GoogleService-Info.plist
est ensuite téléchargé sur votre ordinateur. Si votre projet comporte plusieurs ID de bundle, chacun d'entre eux doit être connecté à la console Firebase pour qu'il puisse avoir son propre fichierGoogleService-Info.plist
.Copiez le fichier de configuration à la racine de votre projet Xcode et ajoutez-le à toutes les cibles.
Étape 2: Supprimez le SDK Identity Toolkit
- Supprimez
GoogleIdentityToolkit
du Podfile de votre application. - Exécutez la commande
pod install
.
Étape 3: Ajoutez FirebaseUI à votre application
Ajoutez l'authentification FirebaseUI à votre application.
Dans votre application, remplacez les appels au SDK Identity Toolkit par des appels à FirebaseUI.