Esegui la migrazione da Google Identity Toolkit a Firebase Authentication

L'ultima versione di Google Identity Toolkit è stata rilasciata come Firebase Authentication. In futuro, il lavoro sulle funzionalità di Identity Toolkit verrà bloccato e tutte le nuove funzionalità verranno sviluppate su Firebase Authentication. Invitiamo gli sviluppatori di Identity Toolkit a passare a Firebase Authentication non appena sarà possibile per le loro applicazioni; tuttavia, Identity Toolkit continuerà a funzionare e non verrà ritirato senza un ulteriore annuncio.

Nuove funzionalità

Firebase Authentication offre già alcuni miglioramenti significativi delle funzionalità rispetto a Google Identity Toolkit:

  • Accesso a tutti i servizi Firebase

    Firebase è una piattaforma mobile che consente di sviluppare rapidamente app di alta qualità, far crescere la tua base di utenti e guadagnare di più. Firebase è composto da funzionalità complementari che puoi combinare per soddisfare le tue esigenze e include l'infrastruttura per: analisi mobile, Cloud Messaging, Realtime Database, file storage, hosting statico, Remote Config, report sugli arresti anomali su dispositivi mobili e test Android.

  • UI aggiornate

    Abbiamo completamente ricostruito i flussi dell'UI in base alle ultime ricerche sull'esperienza utente di Google. Sono inclusi il recupero della password, il collegamento dell'account e i flussi di disambiguazione di account nuovi/esistenti che spesso richiedono molto tempo per la codifica e il debug. Integra Smart Lock per password su Android, che ha migliorato significativamente la conversione di accesso e registrazione per le app partecipanti. Supporta anche modifiche semplici dei temi per adattarsi alla tua applicazione e, per la massima personalizzazione, le Android e iOS sono state rese open source.

  • Configurazione del server semplificata

    Abbiamo semplificato l'utilizzo di Firebase Authentication per gli sviluppatori. Con Identity Toolkit, abbiamo notato che molti sviluppatori hanno scelto di non implementare il flusso di recupero dell'email, il che ha reso impossibile ai loro utenti recuperare i propri account se dimenticavano la password. Firebase Authentication può inviare all'utente messaggi di verifica email, reimpostazione password e modifica della password e il testo può essere facilmente personalizzato per gli utenti. Inoltre, non è più necessario ospitare i widget dell'UI per ospitare i reindirizzamenti e completare le operazioni di modifica della password.

  • Nuova console di amministrazione

    Firebase ha una nuova console per sviluppatori e la sezione Autenticazione consente di visualizzare, modificare ed eliminare gli utenti. Questo può essere di grande aiuto per il debug dei flussi di accesso e registrazione. La console consente anche di configurare i metodi di autenticazione e personalizzare i modelli di email.

  • Nuovi SDK

    Tutte le API server di Identity Toolkit sono ora disponibili in modo nativo con ciascuna delle nostre librerie client (Android, iOS, web). Gli sviluppatori potranno accedere e registrare utenti vecchi e nuovi, accedere alle proprietà utente, collegare, aggiornare ed eliminare account, reimpostare le password e altro ancora senza essere vincolati a un'UI fissa. Se preferisci, puoi creare manualmente l'intero flusso e l'esperienza di accesso su questa API.

  • Gestione delle sessioni per app mobile

    Con Identity Toolkit, le app hanno creato il proprio stato della sessione in base all'evento di autenticazione iniziale di Identity Toolkit. Firebase Auth utilizza un servizio di backend che accetta un token di aggiornamento, generato dall'evento di autenticazione, e lo scambia con token di accesso di un'ora per Android, iOS e JavaScript. Quando un utente modifica la password, i token di aggiornamento non saranno più in grado di generare nuovi token di accesso, disabilitando così l'accesso finché l'utente non esegue di nuovo l'autenticazione sul dispositivo.

  • Autenticazione anonima e GitHub

    Firebase Authentication supporta due nuovi tipi di autenticazione: GitHub e anonima. L'accesso anonimo può essere utilizzato per creare un ID utente univoco senza richiedere all'utente di eseguire alcuna procedura di accesso o registrazione. Con un utente anonimo, ora puoi effettuare chiamate API autenticate, come faresti con un utente normale. Quando l'utente decide di registrarsi per un account, tutte le attività vengono conservate con lo stesso ID utente. Questa funzionalità è ideale per situazioni come un carrello degli acquisti lato server o qualsiasi applicazione in cui vuoi coinvolgere l'utente prima di inviarlo a un flusso di registrazione.

Differenze di funzionalità

Alcune funzionalità di Identity Toolkit non sono attualmente disponibili in Firebase Authentication, mentre altre sono state riprogettate e funzionano in modo diverso. Potresti scegliere di non eseguire la migrazione immediatamente se queste funzionalità sono importanti per la tua app. In molti casi, queste funzionalità potrebbero non essere importanti per la tua app o potrebbero esistere fallback semplici che ti consentiranno di procedere con la migrazione.

Differenze lato server

Il servizio principale di Identity Toolkit con le relative API REST sottostanti, la logica di convalida dell'account e il database utente principale hanno subito solo aggiornamenti minori. Tuttavia, alcune funzionalità e la modalità di integrazione di Firebase Authentication nel tuo servizio sono cambiate.

  • Provider di identità

    PayPal e AOL non sono supportati. Gli utenti con account di questi IDP possono comunque accedere alla tua applicazione con il flusso di recupero della password e impostare una password per il proprio account.

  • Librerie server

    Al momento, sono disponibili SDK Firebase Admin per Java, Node.js, Python, Go e C#.

  • Email di gestione dell'account

    I messaggi di reimpostazione password, verifica email e modifica dell'indirizzo email possono essere eseguiti da Firebase o dal server di posta dello sviluppatore. Al momento, i modelli di email di Firebase offrono solo una personalizzazione limitata.

  • Conferma della modifica dell'indirizzo email

    In Identity Toolkit, quando un utente decide di modificare il proprio indirizzo email, viene inviata un'email al nuovo indirizzo con un link per continuare il flusso di modifica dell'indirizzo email.

    Firebase conferma la modifica dell'indirizzo email inviando un'email di revoca al vecchio indirizzo email con un link per annullare la modifica.

  • Implementazione dell'IDP

    Identity Toolkit aveva la possibilità di aggiungere gradualmente i provider di identità al sistema di accesso, in modo da poter sperimentare l'impatto sulle richieste di assistenza. Questa funzionalità è stata rimossa in Firebase Authentication.

Differenze lato client

In Firebase, le funzionalità fornite da Google Identity Toolkit sono suddivise in due componenti:

  • SDK Firebase Authentication

    In Firebase Authentication, la funzionalità fornita dall'API REST di Identity Toolkit è stata inclusa negli SDK client disponibili per Android, iOS e JavaScript. Puoi utilizzare l'SDK per accedere e registrare gli utenti, accedere alle informazioni del profilo utente, collegare, aggiornare ed eliminare account e reimpostare le password utilizzando l'SDK client anziché comunicare con il servizio di backend tramite chiamate REST.

  • FirebaseUI Auth

    Tutti i flussi dell'UI che gestiscono l'accesso, la registrazione, il recupero della password e il collegamento dell'account sono stati ricostruiti utilizzando gli SDK Firebase Authentication. Sono disponibili come SDK open source per iOS e Android per consentirti di personalizzare completamente i flussi in modi non possibili con Identity Toolkit.

Altre differenze includono:

  • Sessioni e migrazione

    Poiché le sessioni vengono gestite in modo diverso in Identity Toolkit e Firebase Authentication, le sessioni esistenti degli utenti verranno terminate dopo l'upgrade dell'SDK e gli utenti dovranno accedere di nuovo.

Prima di iniziare

Prima di poter eseguire la migrazione da Identity Toolkit a Firebase Authentication, devi:

  1. Apri la console Firebase, fai clic Importa progetto Google e seleziona il progetto Identity Toolkit.

  2. Fai clic su > Autorizzazioni per aprire la pagina IAM e Amministrazione.

  3. Apri la pagina Account di servizio. Qui puoi vedere il service account che hai configurato in precedenza per Identity Toolkit.

  4. Accanto al service account, fai clic su > Crea chiave. Poi, nella finestra di dialogo Crea chiave privata, imposta il tipo di chiave su JSON e fai clic su Crea. Viene scaricato un file JSON contenente le credenziali del tuo service account. Ti servirà per inizializzare l'SDK nel passaggio successivo.

  5. Torna alla console Firebase. Nella sezione Autenticazione, apri la pagina Modelli di email. In questa pagina, personalizza i modelli di email della tua app.

    In Identity Toolkit, quando gli utenti reimpostavano le password, modificavano gli indirizzi email e verificavano gli indirizzi email, dovevi ottenere un codice OOB dal server Identity Toolkit e poi inviare il codice agli utenti via email. Firebase invia email in base ai modelli che configuri senza richiedere ulteriori azioni.

  6. Facoltativo: se devi accedere ai servizi Firebase sul tuo server, installa l'SDK Firebase.

    1. Puoi installare il modulo Firebase Node.js con npm:

      $ npm init
$ npm install --save firebase-admin

    2. Nel codice, puoi accedere a Firebase utilizzando:

      var admin = require('firebase-admin');
var app = admin.initializeApp({
  credential: admin.credential.cert('path/to/serviceAccountCredentials.json')
});

Poi, completa i passaggi di migrazione per la piattaforma della tua app: Android, iOS, web.

Server e JavaScript

Modifiche importanti

Esistono diverse differenze aggiuntive nell'implementazione web di Firebase rispetto a Identity Toolkit.

  • Gestione delle sessioni web

    In precedenza, quando un utente eseguiva l'autenticazione utilizzando il widget Identity Toolkit, veniva impostato un cookie per l'utente che veniva utilizzato per avviare la sessione. Questo cookie aveva una durata di due settimane e veniva utilizzato per consentire all'utente di utilizzare il widget di gestione dell'account per modificare la password e l'indirizzo email. Alcuni siti utilizzavano questo cookie per autenticare tutte le altre richieste di pagina sul sito. Altri siti utilizzavano il cookie per creare i propri cookie tramite il sistema di gestione dei cookie del framework.

    Gli SDK client di Firebase ora gestiscono i token ID Firebase e funzionano con il backend di Firebase Authentication per mantenere aggiornata la sessione. Il backend fa scadere le sessioni quando si sono verificate modifiche importanti dell'account (ad esempio modifiche della password utente). I token ID Firebase non vengono impostati automaticamente come cookie sul client web e hanno una durata di un'ora. A meno che tu non voglia sessioni di un'ora, i token ID Firebase non sono adatti per essere utilizzati come cookie per convalidare tutte le richieste di pagina. Dovrai invece configurare un listener per quando l'utente esegue l'accesso, recuperare il token ID Firebase, convalidare il token, e creare il tuo cookie tramite il sistema di gestione dei cookie del framework.

    Dovrai impostare la durata della sessione del cookie in base alle esigenze di sicurezza della tua applicazione.

  • Flusso di accesso web

    In precedenza, gli utenti venivano reindirizzati a accountchooser.com quando veniva avviato l'accesso per scoprire quale identificatore l'utente voleva utilizzare. Il flusso dell'UI di Firebase Auth ora inizia con un elenco di metodi di accesso, inclusa un'opzione email che va a accountchooser.com per il web e utilizza l'API hintRequest su Android. Inoltre, gli indirizzi email non sono più obbligatori nell'UI di Firebase. In questo modo sarà più facile supportare utenti anonimi, utenti di autenticazione personalizzata o utenti di provider in cui gli indirizzi email non sono obbligatori.

  • Widget di gestione dell'account

    Questo widget fornisce un'UI per consentire agli utenti di modificare gli indirizzi email, modificare le password o scollegare i propri account dai provider di identità. È attualmente in fase di sviluppo.

  • Pulsante/widget di accesso

    I widget come il pulsante di accesso e la scheda utente non sono più forniti. Possono essere creati molto facilmente utilizzando l'API Firebase Authentication.

  • Nessun signOutUrl

    Dovrai chiamare firebase.auth.signOut() e gestire il callback.

  • Nessun oobActionUrl

    L'invio di email è ora gestito da Firebase ed è configurato nella console Firebase.

  • Personalizzazione CSS

    FirebaseUI utilizza lo stile Material Design Lite, che aggiunge dinamicamente le animazioni di Material Design.

Passaggio 1: modifica il codice del server

  1. Se il tuo server si basa sul token Identity Toolkit (valido per due settimane) per gestire le sessioni utente web, devi convertire il server in modo che utilizzi il proprio cookie di sessione.

    1. Implementa un endpoint per convalidare il token ID Firebase e impostare il cookie di sessione per l'utente. L'app client invia il token ID Firebase a questo endpoint.
    2. Se la richiesta in entrata contiene il tuo cookie di sessione, puoi considerare l'utente autenticato. In caso contrario, tratta la richiesta come non autenticata.
    3. Se non vuoi che nessuno dei tuoi utenti perda le sessioni con accesso esistenti, devi attendere due settimane che tutti i token Identity Toolkit scadano oppure eseguire anche la convalida del doppio token per la tua applicazione web come descritto di seguito nel passaggio 3.

  2. Poi, poiché i token Firebase sono diversi dai token Identity Toolkit, devi aggiornare la logica di convalida dei token. Installa l'SDK Firebase Server sul tuo server oppure, se utilizzi un linguaggio non supportato dall'SDK Firebase Server, scarica una libreria di convalida dei token JWT per il tuo ambiente e convalida correttamente il token.

  3. Quando esegui per la prima volta gli aggiornamenti sopra indicati, potresti avere ancora percorsi di codice che si basano sui token Identity Toolkit. Se hai applicazioni iOS o Android, gli utenti dovranno eseguire l'upgrade alla nuova versione dell'app per far funzionare i nuovi percorsi di codice. Se non vuoi forzare gli utenti ad aggiornare la tua app, puoi aggiungere una logica di convalida del server aggiuntiva che esamina il token e determina se deve utilizzare l'SDK Firebase o l'SDK Identity Toolkit per convalidare il token. Se hai solo un'applicazione web, tutte le nuove richieste di autenticazione verranno spostate su Firebase e, pertanto, devi utilizzare solo i metodi di verifica dei token Firebase.

Consulta il riferimento API web di Firebase.

Passaggio 2: aggiorna l'HTML

  1. Aggiungi il codice di inizializzazione di Firebase alla tua app:

    1. Apri il progetto nella console Firebase.
    2. Nella pagina Panoramica, fai clic su Aggiungi app, poi su Aggiungi Firebase alla tua app web. Viene visualizzato uno snippet di codice che inizializza Firebase.
    3. Copia e incolla lo snippet di inizializzazione nella tua pagina web.

  2. Aggiungi FirebaseUI Auth alla tua app:

    <script src="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.js"></script>
<link type="text/css" rel="stylesheet" href="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.css" />
<!-- *******************************************************************************************
   * TODO(DEVELOPER): Paste the initialization snippet from:
   * Firebase Console > Overview > Add Firebase to your web app. *
   ***************************************************************************************** -->
<script type="text/javascript">
  // FirebaseUI config.
  var uiConfig = {
    'signInSuccessUrl': '<url-to-redirect-to-on-success>',
    'signInOptions': [
      // Leave the lines as is for the providers you want to offer your users.
      firebase.auth.GoogleAuthProvider.PROVIDER_ID,
      firebase.auth.FacebookAuthProvider.PROVIDER_ID,
      firebase.auth.TwitterAuthProvider.PROVIDER_ID,
      firebase.auth.GithubAuthProvider.PROVIDER_ID,
      firebase.auth.EmailAuthProvider.PROVIDER_ID
    ],
    // Terms of service url.
    'tosUrl': '<your-tos-url>',
  };

  // Initialize the FirebaseUI Widget using Firebase.
  var ui = new firebaseui.auth.AuthUI(firebase.auth());
  // The start method will wait until the DOM is loaded.
  ui.start('#firebaseui-auth-container', uiConfig);
</script>

  3. Rimuovi l'SDK Identity Toolkit dalla tua app.

  4. Se ti basavi sul token ID Identity Toolkit per la gestione delle sessioni, devi apportare le seguenti modifiche lato client:

    1. Dopo aver eseguito l'accesso correttamente con Firebase, recupera un token ID Firebase chiamando firebase.auth().currentUser.getToken().

    2. Invia il token ID Firebase al server di backend, convalidalo ed emetti il tuo cookie di sessione.

      Non fare affidamento esclusivamente sul cookie di sessione quando esegui operazioni sensibili o invii richieste di modifica autenticate al tuo server. Dovrai fornire una protezione aggiuntiva contro gli attacchi di richiesta cross-site (CSRF).

      Se il tuo framework non fornisce la protezione CSRF, un modo per prevenire un attacco è recuperare un token ID Firebase per l'utente che ha eseguito l'accesso con getToken() e includere il token in ogni richiesta (il cookie di sessione verrà inviato anche per impostazione predefinita). Dovrai quindi convalidare il token utilizzando l'SDK Firebase Server oltre al controllo del cookie di sessione, che il framework di backend ha completato. In questo modo sarà più difficile che gli attacchi CSRF abbiano successo, poiché il token ID Firebase viene archiviato solo utilizzando l'archiviazione web e mai in un cookie.

    3. I token Identity Toolkit sono validi per due settimane. Potresti voler continuare a emettere token che durano due settimane oppure potresti volerli rendere più lunghi o più brevi in base ai requisiti di sicurezza della tua app. Quando un utente esegue la disconnessione, cancella il cookie di sessione.

Passaggio 3: aggiorna gli URL di reindirizzamento dell'IDP

  1. Nella console Firebase, apri la sezione Autenticazione e fai clic sulla scheda Metodo di accesso.

  2. Per ogni provider di accesso federato che supporti, svolgi quanto segue:

    1. Fai clic sul nome del provider di accesso.
    2. Copia l'URI di reindirizzamento OAuth.
    3. Nella console per sviluppatori del provider di accesso, aggiorna l'URI di reindirizzamento OAuth.

Android

Passaggio 1: aggiungi Firebase alla tua app

  1. Apri la console Firebase e seleziona il progetto Identity Toolkit che hai già importato.

  2. Nella pagina Panoramica, fai clic su Aggiungi app, poi su Aggiungi Firebase alla tua app per Android. Nella finestra di dialogo Aggiungi Firebase, fornisci il nome del pacchetto dell'app e il fingerprint del certificato di firma e fai clic su Aggiungi app. Il file di configurazione google-services.json viene quindi scaricato sul computer.

  3. Copia il file di configurazione nella directory principale del modulo dell'app per Android. Questo file di configurazione contiene le informazioni del progetto e del client OAuth di Google.

  4. Nel file build.gradle a livello di progetto (<var>your-project</var>/build.gradle), specifica il nome del pacchetto dell'app in the defaultConfig sezione:

    defaultConfig {
   …..
  applicationId "com.your-app"
}

  5. Sempre nel file build.gradle a livello di progetto, aggiungi una dipendenza per includere il plug-in google-services:

    buildscript {
 dependencies {
   // Add this line
   classpath 'com.google.gms:google-services:3.0.0'
 }
}

  6. Nel file build.gradle a livello di app (<var>my-project</var>/<var>app-module</var>/build.gradle), aggiungi la seguente riga in fondo per attivare il plug-in google-services:

    // Add to the bottom of the file
apply plugin: 'com.google.gms.google-services'

    Il plug-in google-services utilizza il file google-services.json per configurare l'applicazione in modo che utilizzi Firebase.

  7. Sempre nel file build.gradle a livello di app, aggiungi la dipendenza Firebase Authentication:

    compile 'com.google.firebase:firebase-auth:24.0.1'
compile 'com.google.android.gms:play-services-auth:21.5.1'

Passaggio 2: rimuovi l'SDK Identity Toolkit

  1. Rimuovi la configurazione di Identity Toolkit dal file AndroidManifest.xml. Queste informazioni sono incluse nel file google-service.json e caricate dal plug-in google-services.
  2. Rimuovi l'SDK Identity Toolkit dalla tua app.

Passaggio 3: aggiungi FirebaseUI alla tua app

  1. Aggiungi FirebaseUI Auth alla tua app.

  2. Nella tua app, sostituisci le chiamate all'SDK Identity Toolkit con le chiamate a FirebaseUI.

iOS

Passaggio 1: aggiungi Firebase alla tua app

  1. Aggiungi l'SDK Firebase alla tua app eseguendo i seguenti comandi:

    $ cd your-project directory
$ pod init
$ pod 'Firebase'

  2. Apri la console Firebase e seleziona il progetto Identity Toolkit che hai già importato.

  3. Nella pagina Panoramica, fai clic su Aggiungi app, poi su Aggiungi Firebase a la tua app per iOS. Nella finestra di dialogo Aggiungi Firebase, fornisci l'ID pacchetto e l'ID App Store dell'app, poi fai clic su Aggiungi app. Il GoogleService-Info.plist file di configurazione viene quindi scaricato sul computer. Se nel tuo progetto sono presenti più ID pacchetto, ogni ID pacchetto deve essere connesso nella console Firebase in modo che possa avere il proprio file GoogleService-Info.plist.

  4. Copia il file di configurazione nella root del progetto Xcode e aggiungilo a tutti i target.

Passaggio 2: rimuovi l'SDK Identity Toolkit

  1. Rimuovi GoogleIdentityToolkit dal Podfile della tua app.
  2. Esegui il comando pod install.

Passaggio 3: aggiungi FirebaseUI alla tua app

  1. Aggiungi FirebaseUI Auth alla tua app.

  2. Nella tua app, sostituisci le chiamate all'SDK Identity Toolkit con le chiamate a FirebaseUI.