從 Google Identity Toolkit 遷移至 Google Cloud's Identity Platform

Google Identity Toolkit 最新版本已推出,名稱為 Identity PlatformFirebase 驗證。日後 Identity Toolkit 的功能將遭到凍結。所有新功能 我們會透過 Identity Platform 和 Firebase 開發功能 驗證我們建議 Identity Toolkit 開發人員在應用程式可行時,盡快轉移至這些平台。

新功能

Identity Platform 已為 Google Identity Toolkit:

  • 新版管理控制台

    Identity Platform 提供新的開發人員控制台,可讓您查看、修改及刪除使用者,這有助於對登入和註冊流程進行偵錯。控制台也可讓您 設定驗證方法及自訂電子郵件範本。

  • 新驗證方法

    Identity Platform 支援企業聯盟標準,例如 SAML 和 OIDC 可讓您擴充軟體式服務 (SaaS) 應用程式和服務。Identity Platform 也支援 GitHub、Microsoft、Yahoo 等提供者。你可以使用匿名登入功能建立不重複的使用者 ID,但不需要 要求使用者完成任何登入或註冊流程;這能讓您 就能發出經過驗證的 API 呼叫當使用者決定註冊帳戶時,系統會保留所有活動,並使用相同的使用者 ID。這很適合用於伺服器端購物等情境 購物車或其他應用程式 完成註冊流程

  • 透過服務水準協議和雲端支援服務,放心擴大規模

    Identity Platform 採用值得信賴的 Google 基礎架構, 服務水準協議 Google Cloud 提供支援服務這表示您可以放心擴充服務,並依賴 Google 提供所需的彈性、可用性和擴充性。

  • 可存取所有 Firebase 功能

    Firebase 行動平台可協助您快速開發高品質的應用程式 拓展使用者族群 同時賺取更多收益Firebase 由互補功能組成,您可以視需求混合搭配使用,其中包括下列功能的基礎架構:行動分析雲端通訊即時資料庫檔案儲存空間靜態代管遠端設定、行動當機回報和 Android 測試

  • 更新的 UI

    我們已根據 Google 最新的使用者體驗,徹底重新建構 UI 流程 研究。這包括密碼救援、帳戶連結、新客戶/現有帳戶 往往需要大量時間編寫程式碼, 偵錯。整合密碼專用 Smart Lock 在 Android 上,這將大幅提升登入和註冊轉換率 參與計畫的應用程式。 這個程式庫也支援簡單的主題修改程序,以符合應用程式 最大可自訂性,也就是 AndroidiOS 都已開放原始碼

  • 簡化伺服器設定

    我們發現,許多開發人員選擇不導入電子郵件復原流程,導致使用者忘記密碼時無法復原帳戶。Identity Platform 可以 傳送電子郵件驗證、密碼重設及變更密碼訊息給 也能輕鬆自訂使用者和文字 讓使用者享有低延遲和高可用性此外,您也不再需要代管 UI 小工具,以便代管重新導向並完成密碼變更作業。

  • 新 SDK

    所有 Identity Toolkit 的伺服器 API 現在都能與各用戶端程式庫 (Android、iOS、網頁) 原生搭配使用。開發人員可以登入及註冊新舊使用者、存取使用者資源、連結、更新及刪除帳戶、重設密碼等,而無須綁定固定的 UI。如有需要,您可以手動建構自己的完整登入流程和體驗,並以此 API 為基礎。

  • 行動應用程式的工作階段管理

    使用 Identity Toolkit 時,應用程式會根據 Identity Toolkit 的初始驗證事件建立自己的工作階段狀態。Identity Platform 採用 採用更新權杖的後端服務,從驗證作業中移除 事件;交換後可用於交換一小時的存取權杖,以供 Android、iOS 及 JavaScript。使用者變更密碼後,重新整理權杖將不會 即可產生新的存取權杖 系統會停用存取權,直到 使用者在裝置上重新驗證

功能差異

部分 Identity Toolkit 功能目前無法在 Identity Platform 中使用,其他功能則已重新設計,並採用不同的運作方式。如果這些功能很重要,建議您不要立即遷移 在多數情況下,這些功能對您的應用程式或 可能會有簡單的備用方案,協助您繼續進行遷移。

伺服器端差異

核心身分工具包服務及其基礎 REST API 驗證邏輯和主要使用者資料庫只進行了小幅更新。 但部分功能及其整合 Identity Platform 的方式 變成您的服務了

  • 識別資訊提供者

    不支援 Paypal 和 AOL。使用者如果擁有這些 IDP 的帳戶,仍可透過密碼救援流程登入應用程式,並為自己的帳戶設定密碼。

  • 伺服器程式庫

    目前,我們提供適用於 Java、Node.js、Python、Go 和 C# 的管理 SDK

  • 帳戶管理電子郵件

    密碼重設、電子郵件驗證和電子郵件變更訊息 由 Firebase 執行,或在開發人員的 自己的郵件伺服器。目前電子郵件範本提供 使用者介面自訂元素,但您也可以使用 Admin SDK

  • 電子郵件地址變更確認

    在 Identity Toolkit 中,當使用者決定變更電子郵件地址時,系統會傳送電子郵件至新地址,並附上連結,方便使用者繼續進行電子郵件地址變更流程。

    Firebase 會向舊電子郵件地址傳送撤銷電子郵件,並附上連結,讓使用者可還原變更。

  • IDP 推出作業

    Identity Toolkit 可逐步將識別資訊提供者新增至登入系統,讓您測試對支援要求的影響。這項功能已從 Firebase 驗證中移除。

用戶端差異

在 Identity Platform 中,Google Identity Toolkit 提供的各項功能會分開計算 分為兩個部分

  • 用戶端和伺服器 SDK

    在 Identity Platform 中 REST API 已封裝到用戶端 SDK 中,可供 Android、iOS 和 JavaScript。您可以使用 SDK 登入及註冊使用者。存取權使用者 個人資訊;連結、更新及刪除帳戶;以及重設密碼 使用用戶端 SDK,而不是透過 REST 呼叫。

  • 使用者介面小工具

    提供所有 UI 流程,讓您管理登入、註冊、密碼復原與 已使用 Client SDK 重建帳戶連結,並封裝為 的登入小工具。做為開放原始碼的 SDK 形式, iOS, Android,以及 網頁和 可讓您完全自訂流程, 身分工具包

其他差異包括:

  • 工作階段和遷移

    由於 Identity Toolkit 和 Identity Platform 管理工作階段的方式不同,因此升級 SDK 後,使用者的現有工作階段會終止,使用者必須重新登入。

事前準備

從 Identity Toolkit 遷移至 Identity Platform 之前, 必須:

  1. 開啟 Cloud 控制台,然後選取 Identity Toolkit 專案。

  2. 在 Marketplace 中瀏覽至「Identity Platform」,然後選取「Enable Identity Platform」

  3. 開啟頁面。這裡顯示的服務帳戶 先前為 Identity Toolkit 設定

  4. 在服務帳戶旁邊,依序按一下 >「建立金鑰」。接著,在「Create private key」對話方塊中,將「Key type」設為「JSON」,然後按一下「Create」。系統會為您下載包含服務帳戶憑證的 JSON 檔案。您需要這項資訊,才能在下一個步驟中初始化 SDK。

  5. 返回 Cloud 控制台。 在「提供者」部分的「電子郵件/密碼」登入方式中,開啟「電子郵件範本」頁面。接著,您就可以自訂應用程式的範本。

    在 Identity Toolkit 中,當使用者重設密碼、變更電子郵件地址或驗證電子郵件地址時,您需要從 Identity Toolkit 伺服器取得 OOB 驗證碼,然後透過電子郵件傳送給使用者。Identity Platform 會根據您設定的範本傳送電子郵件,無須採取其他動作。

  6. 選用:如果您需要在伺服器上存取 Identity Platform 服務,請安裝 Firebase SDK。

    1. 您可以使用 npm 安裝 Node.js Admin SDK:

      $ npm init
      $ npm install --save firebase-admin
      
    2. 在程式碼中,您可以透過下列方式存取 Firebase:

      var admin = require('firebase-admin');
      var app = admin.initializeApp({
        credential: admin.credential.cert('path/to/serviceAccountCredentials.json')
      });
      

接著,請完成應用程式平台的遷移步驟:AndroidiOS網頁

伺服器和 JavaScript

重要異動

Identity Platform 的網頁實作方式與 Identity Toolkit 有許多其他差異。

  • 網路工作階段管理

    過去,如果使用者使用 Identity Toolkit 小工具 先前在 Cookie 中 啟動工作階段。 這個 Cookie 的效期為兩週,可供使用者 帳戶管理小工具即可變更密碼和電子郵件地址。只有部分通知 網站使用這個 Cookie 驗證網站上所有其他網頁要求。 其他網站則是透過架構的 Cookie 管理系統,使用 Cookie 建立自家的 Cookie。

    Identity Platform 用戶端 SDK 現已管理 ID 權杖 ,並使用 Identity Platform 的後端來維持工作階段的新鮮度。 發生重要帳戶變更 (例如使用者密碼變更) 時,後端會讓工作階段失效。ID 權杖不會自動設為網頁用戶端的 Cookie,且有效時間只有一小時。除非您 只想取得一小時的工作階段,ID 權杖並不適當 驗證所有網頁要求不過,您將 需要設定事件監聽器 在使用者登入時 取得 ID 權杖 驗證權杖,然後建立 透過您架構的 Cookie 管理系統取得 Cookie。

    您必須根據 滿足應用程式的安全防護需求

  • 網頁登入流程

    系統過去會在使用者登入時,將他們重新導向至 accountchooser.com 因此想瞭解使用者要使用的 IDIdentity Platform UI 的流程現在會從登入方法清單開始,其中包括電子郵件選項,可將使用者導向網頁版的 accountchooser.com,並在 Android 上使用 hintRequest API。此外,使用者介面已不再需要電子郵件地址。 這麼做可讓您更輕鬆地支援匿名使用者、自訂驗證使用者,或不需提供電子郵件地址的供應商使用者。

  • 帳戶管理小工具

    這個小工具提供使用者介面,可讓使用者變更電子郵件地址、將變更地址 或將帳戶與識別資訊提供者取消連結。目前仍在開發中。

  • 登入按鈕/小工具

    我們不再提供登入按鈕和使用者資訊卡等小工具。他們 也能使用 Firebase Authentication API 輕鬆建構驗證應用程式。

  • 沒有 signOutUrl

    您需要呼叫 firebase.auth.signOut() 並處理回呼。

  • 沒有 oobActionUrl

    電子郵件傳送作業現在由 Identity Platform 處理,並在 Firebase 主控台中設定。

  • CSS 自訂設定

    UI 小工具使用 Material Design Lite 樣式,可動態新增 Material Design 動畫。

步驟 1:變更伺服器程式碼

  1. 如果您的伺服器必須使用 Identity Toolkit 權杖 (效期兩週) 才能 管理網路使用者工作階段,您需要將伺服器轉換為 工作階段 Cookie

    1. 驗證 ID 權杖 並設定使用者的工作階段 Cookie用戶端應用程式會將 Firebase ID 權杖傳送至這個端點。
    2. 如果傳入的要求包含您自己的工作階段 Cookie,您可以考慮驗證使用者。否則,請將要求視為未經過驗證。
    3. 如果您不希望任何使用者失去目前登入的帳戶 工作階段時,所有 Identity Toolkit 權杖都應等候兩週 失效,或為 網頁應用程式執行雙重權杖驗證 。
  2. 接下來,由於 ID 權杖與 Identity Toolkit 權杖不同,您必須更新權杖驗證邏輯。安裝 Admin SDK 至您的伺服器如果您使用 Admin SDK 不支援的語言 下載 JWT 權杖驗證程式庫 以便測試環境 驗證權杖

  3. 首次進行上述更新時,您可能仍有依賴 Identity Toolkit 權杖的程式碼路徑。如果您有 iOS 或 Android 應用程式,使用者必須升級至新版應用程式,才能使用新程式碼路徑。不強制使用者更新 應用程式,您可以新增更多伺服器驗證邏輯,以便檢查 並決定是否需要使用 Firebase SDK 使用 Identity Toolkit SDK 驗證權杖。如果只有網站 所有新的驗證要求都會轉移到 Identity Platform 之後,您只需要使用 ID 權杖 驗證方法。

請參閱 Web API 參考資料

步驟 2:更新 HTML

  1. 在應用程式中加入初始化程式碼:

    1. Cloud 控制台中開啟專案。
    2. 在「供應商」頁面中,按一下「應用程式設定詳細資料」。這個程式碼片段 就會顯示初始化的 Identity Platform。
    3. 將初始化程式碼片段複製並貼到網頁中。
  2. 新增驗證小工具

    <script src="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.js"></script>
    <link type="text/css" rel="stylesheet" href="https://www.gstatic.com/firebasejs/ui/live/0.4/firebase-ui-auth.css" />
    <!-- *******************************************************************************************
       * TODO(DEVELOPER): Paste the initialization snippet from:
       * Firebase Console > Overview > Add Firebase to your web app. *
       ***************************************************************************************** -->
    <script type="text/javascript">
      // FirebaseUI config.
      var uiConfig = {
        'signInSuccessUrl': '<url-to-redirect-to-on-success>',
        'signInOptions': [
          // Leave the lines as is for the providers you want to offer your users.
          firebase.auth.GoogleAuthProvider.PROVIDER_ID,
          firebase.auth.FacebookAuthProvider.PROVIDER_ID,
          firebase.auth.TwitterAuthProvider.PROVIDER_ID,
          firebase.auth.GithubAuthProvider.PROVIDER_ID,
          firebase.auth.EmailAuthProvider.PROVIDER_ID
        ],
        // Terms of service url.
        'tosUrl': '<your-tos-url>',
      };
    
      // Initialize the FirebaseUI Widget using Firebase.
      var ui = new firebaseui.auth.AuthUI(firebase.auth());
      // The start method will wait until the DOM is loaded.
      ui.start('#firebaseui-auth-container', uiConfig);
    </script>
    
  3. 從應用程式中移除 Identity Toolkit SDK。

  4. 如果您使用 Identity Toolkit ID 權杖管理工作階段,則必須在用戶端端進行以下變更:

    1. 成功使用 Identity Platform 登入後,請透過以下方式取得 ID 權杖: 正在撥打 firebase.auth().currentUser.getToken()

    2. 將 ID 權杖傳送至後端伺服器、驗證權杖,並發出您自己的工作階段 Cookie。

      執行敏感時,請勿僅仰賴工作階段 Cookie 或傳送經過驗證的編輯要求至您的伺服器。您需要提供額外的跨網站要求偽造 (CSRF) 防護措施。

      如果您的架構未提供 CSRF 防護,則可以使用 getToken() 取得已登入使用者的 ID 權杖,並在每個要求中加入權杖 (預設也會傳送工作階段 Cookie),藉此防止攻擊。接著,您可以使用管理員 SDK 驗證該權杖,並檢查後端架構完成的會話 Cookie。同時減少 代表 CSRF 攻擊成功,因為 ID 權杖只會使用 且絕對不會儲存在 Cookie 中

    3. 身分工具包權杖的效期為兩週。建議您 繼續核發過去兩週的憑證 根據應用程式的安全性需求決定時間長度 使用者登出時,清除工作階段 Cookie。

步驟 3:更新 IdP 重新導向網址

  1. Cloud 控制台中,開啟「供應者」部分。

  2. 針對您支援的每個聯合登入供應商,執行下列操作:

    1. 按一下登入提供者的名稱。
    2. 複製 OAuth 重新導向 URI。
    3. 在登入服務供應商的開發人員控制台中,更新 OAuth 重新導向 URI。

Android

步驟 1:使用 Firebase 將 Identity Platform 新增至應用程式

  1. 開啟 Cloud 控制台: 選取您的 Identity Toolkit 專案。

  2. 在「供應商」頁面按一下「應用程式設定詳細資料」,然後選取 「Android」分頁,然後點選「開始使用 Firebase」。 在「Add Firebase」對話方塊中,提供應用程式的套件名稱和簽署憑證指紋,然後按一下「Add App」。接著,系統就會將 google-services.json 設定檔下載到電腦。

  3. 將設定檔複製到 Android 應用程式模組根目錄。這個 設定檔包含專案和 Google OAuth 用戶端資訊。

  4. 在專案層級的 build.gradle 檔案 (<var>your-project</var>/build.gradle) 中,在 defaultConfig 區段中指定應用程式的套件名稱:

    defaultConfig {
       …..
      applicationId "com.your-app"
    }
    
  5. 在專案層級的 build.gradle 檔案中,新增依附元件以納入 google-services 外掛程式:

    buildscript {
     dependencies {
       // Add this line
       classpath 'com.google.gms:google-services:3.0.0'
     }
    }
    
  6. 在應用程式的應用程式層級 build.gradle 檔案 (<var>my-project</var>/<var>app-module</var>/build.gradle) 中,在 Android Gradle 外掛程式後方新增以下行,啟用 google-services 外掛程式:

    apply plugin: 'com.android.application'
    // Add this line
    apply plugin: 'com.google.gms.google-services'
    

    google-services 外掛程式會使用 google-services.json 檔案,將應用程式設為使用 Firebase。

  7. 在應用程式層級的 build.gradle 檔案中,也新增 Firebase 驗證依附元件:

    compile 'com.google.firebase:firebase-auth:23.0.0'
    compile 'com.google.android.gms:play-services-auth:21.2.0'
    

步驟 2:移除 Identity Toolkit SDK

  1. 將 Identity Toolkit 設定從 AndroidManifest.xml 中移除 檔案。這項資訊包含在 google-service.json 檔案中 由 Google 服務外掛程式載入
  2. 從應用程式中移除 Identity Toolkit SDK。

步驟 3:將 FirebaseUI 新增至應用程式

  1. 新增 FirebaseUI 驗證 導入您的應用程式

  2. 在應用程式中,將對 Identity Toolkit SDK 的呼叫替換為對 FirebaseUI 的呼叫。

iOS

步驟 1:將 Firebase 新增至應用程式

  1. 執行下列指令,將用戶端 SDK 新增到您的應用程式:

    $ cd your-project directory
    $ pod init
    $ pod 'Firebase'
    
  2. 開啟 Cloud 控制台,然後選取身分識別工具包專案。

  3. 在「供應商」頁面上,按一下「應用程式設定詳細資料」並選取「iOS」。 分頁,然後點選「開始使用 Firebase」。在「新增 Firebase」對話方塊中 提供應用程式的套件名稱和簽署憑證指紋 按一下「新增應用程式」。接著,google-services.json 設定檔 就會下載到你的電腦上在「Add Firebase」對話方塊中提供應用程式的套件 ID 和 App Store ID,然後按一下「Add App」。接著,系統就會將 GoogleService-Info.plist 設定檔下載到電腦。如果專案中有多個軟體包 ID,則每個軟體包 ID 必須在 Firebase 控制台中連線 GoogleService-Info.plist 檔案。

  4. 將設定檔複製到 Xcode 專案的根層級,並將該檔案新增到所有指定目標中。

步驟 2:移除 Identity Toolkit SDK

  1. 從應用程式的 Podfile 中移除 GoogleIdentityToolkit
  2. 請執行 pod install 指令。

步驟 3:將 FirebaseUI 新增至應用程式

  1. 在應用程式中新增 FirebaseUI Auth

  2. 在您的應用程式中,將對 Identity Toolkit SDK 的呼叫取代為 FirebaseUI。