Memproses login pengguna dengan Apple di iOS
Dokumen ini menunjukkan cara menggunakan Identity Platform untuk menambahkan Login dengan Apple ke aplikasi iOS Anda.
Sebelum memulai
Membuat aplikasi iOS yang menggunakan Identity Platform.
Bergabunglah dengan Program Developer Apple.
Mengonfigurasi aplikasi dengan Apple
Di situs Apple Developer:
Aktifkan kemampuan Login dengan Apple untuk aplikasi Anda.
Jika Anda menggunakan Identity Platform untuk mengirim email kepada pengguna, konfigurasi project Anda dengan layanan relay email pribadi Apple menggunakan email berikut:
noreply@project-id.firebaseapp.com
Anda juga dapat menggunakan template email kustom, jika aplikasi Anda memilikinya.
Mematuhi persyaratan data anonim Apple
Apple memberi pengguna opsi untuk membuat data miliknya anonim, termasuk alamat email. Apple menetapkan alamat email yang di-obfuscate dengan domain privaterelay.appleid.com kepada pengguna yang memilih opsi ini.
Aplikasi Anda harus mematuhi kebijakan atau persyaratan developer yang berlaku dari Apple terkait ID Apple anonim. Hal ini termasuk memperoleh izin pengguna sebelum mengaitkan informasi identitas pribadi (PII) apa pun dengan ID Apple anonim. Tindakan yang melibatkan PII mencakup, tetapi tidak terbatas pada:
- Menautkan alamat email ke ID Apple anonim, atau sebaliknya.
- Menautkan nomor telepon ke ID Apple anonim, atau sebaliknya
- Menautkan kredensial sosial non-anonim, seperti Facebook atau Google, ke ID Apple anonim, atau sebaliknya.
Untuk informasi selengkapnya, lihat Apple Developer Program License Agreement untuk akun developer Apple Anda.
Mengonfigurasi Apple sebagai penyedia
Untuk mengonfigurasi Apple sebagai penyedia identitas:
Buka halaman Penyedia Identitas di konsol Google Cloud.
Klik Tambahkan Penyedia.
Pilih Apple dari daftar.
Di bagian Platform, pilih iOS.
Masukkan ID Paket aplikasi Anda.
Daftarkan domain aplikasi Anda dengan mengklik Tambahkan domain di bagian Authorized Domains. Untuk tujuan pengembangan,
localhostsudah diaktifkan secara default.Di bagian Konfigurasi aplikasi Anda, klik iOS. Salin cuplikan ke dalam kode aplikasi Anda untuk melakukan inisialisasi SDK klien Identity Platform.
Klik Simpan.
Memproses login pengguna dengan SDK klien
Proses login pengguna dan dapatkan token ID menggunakan framework Layanan Autentikasi Apple.
Buat string acak, yang dikenal sebagai nonce, dengan memanggil
SecRandomCopyBytes(_:_:_:).Nonce digunakan untuk mencegah serangan replay. Anda menyertakan hash SHA-256 nonce dalam permintaan autentikasi, dan Apple akan menampilkannya, tanpa diubah, dalam respons. Identity Platform kemudian memvalidasi respons dengan membandingkan hash asli dengan nilai yang ditampilkan oleh Apple.
Mulai alur login Apple, termasuk hash SHA-256 nonce yang Anda buat di langkah sebelumnya, dan class delegasi untuk menangani respons Apple:
Swift
import CryptoKit // Unhashed nonce. fileprivate var currentNonce: String? @available(iOS 13, *) func startSignInWithAppleFlow() { let nonce = randomNonceString() currentNonce = nonce let appleIDProvider = ASAuthorizationAppleIDProvider() let request = appleIDProvider.createRequest() request.requestedScopes = [.fullName, .email] request.nonce = sha256(nonce) let authorizationController = ASAuthorizationController(authorizationRequests: [request]) authorizationController.delegate = self authorizationController.presentationContextProvider = self authorizationController.performRequests() } @available(iOS 13, *) private func sha256(_ input: String) -> String { let inputData = Data(input.utf8) let hashedData = SHA256.hash(data: inputData) let hashString = hashedData.compactMap { return String(format: "%02x", $0) }.joined() return hashString }Objective-C
@import CommonCrypto; - (void)startSignInWithAppleFlow { NSString *nonce = [self randomNonce:32]; self.currentNonce = nonce; ASAuthorizationAppleIDProvider *appleIDProvider = [[ASAuthorizationAppleIDProvider alloc] init]; ASAuthorizationAppleIDRequest *request = [appleIDProvider createRequest]; request.requestedScopes = @[ASAuthorizationScopeFullName, ASAuthorizationScopeEmail]; request.nonce = [self stringBySha256HashingString:nonce]; ASAuthorizationController *authorizationController = [[ASAuthorizationController alloc] initWithAuthorizationRequests:@[request]]; authorizationController.delegate = self; authorizationController.presentationContextProvider = self; [authorizationController performRequests]; } - (NSString *)stringBySha256HashingString:(NSString *)input { const char *string = [input UTF8String]; unsigned char result[CC_SHA256_DIGEST_LENGTH]; CC_SHA256(string, (CC_LONG)strlen(string), result); NSMutableString *hashed = [NSMutableString stringWithCapacity:CC_SHA256_DIGEST_LENGTH * 2]; for (NSInteger i = 0; i < CC_SHA256_DIGEST_LENGTH; i++) { [hashed appendFormat:@"%02x", result[i]]; } return hashed; }Tangani respons Apple dalam penerapan
ASAuthorizationControllerDelegateAnda. Jika proses login berhasil, gunakan token ID dari respons Apple dengan nonce yang tidak di-hash untuk diautentikasi dengan Identity Platform:Swift
@available(iOS 13.0, *) extension MainViewController: ASAuthorizationControllerDelegate { func authorizationController(controller: ASAuthorizationController, didCompleteWithAuthorization authorization: ASAuthorization) { if let appleIDCredential = authorization.credential as? ASAuthorizationAppleIDCredential { guard let nonce = currentNonce else { fatalError("Invalid state: A login callback was received, but no login request was sent.") } guard let appleIDToken = appleIDCredential.identityToken else { print("Unable to fetch identity token") return } guard let idTokenString = String(data: appleIDToken, encoding: .utf8) else { print("Unable to serialize token string from data: \(appleIDToken.debugDescription)") return } // Initialize a Firebase credential. let credential = OAuthProvider.credential(withProviderID: "apple.com", IDToken: idTokenString, rawNonce: nonce) // Sign in with Firebase. Auth.auth().signIn(with: credential) { (authResult, error) in if error { // Error. If error.code == .MissingOrInvalidNonce, make sure // you're sending the SHA256-hashed nonce as a hex string with // your request to Apple. print(error.localizedDescription) return } // User is signed in to Firebase with Apple. // ... } } } func authorizationController(controller: ASAuthorizationController, didCompleteWithError error: Error) { // Handle error. print("Sign in with Apple errored: \(error)") } }Objective-C
- (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithAuthorization:(ASAuthorization *)authorization API_AVAILABLE(ios(13.0)) { if ([authorization.credential isKindOfClass:[ASAuthorizationAppleIDCredential class]]) { ASAuthorizationAppleIDCredential *appleIDCredential = authorization.credential; NSString *rawNonce = self.currentNonce; NSAssert(rawNonce != nil, @"Invalid state: A login callback was received, but no login request was sent."); if (appleIDCredential.identityToken == nil) { NSLog(@"Unable to fetch identity token."); return; } NSString *idToken = [[NSString alloc] initWithData:appleIDCredential.identityToken encoding:NSUTF8StringEncoding]; if (idToken == nil) { NSLog(@"Unable to serialize id token from data: %@", appleIDCredential.identityToken); } // Initialize a Firebase credential. FIROAuthCredential *credential = [FIROAuthProvider credentialWithProviderID:@"apple.com" IDToken:idToken rawNonce:rawNonce]; // Sign in with Firebase. [[FIRAuth auth] signInWithCredential:credential completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) { if (error != nil) { // Error. If error.code == FIRAuthErrorCodeMissingOrInvalidNonce, // make sure you're sending the SHA256-hashed nonce as a hex string // with your request to Apple. return; } // Sign-in succeeded! }]; } } - (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithError:(NSError *)error API_AVAILABLE(ios(13.0)) { NSLog(@"Sign in with Apple errored: %@", error); }
Tidak seperti banyak penyedia identitas lainnya, Apple tidak memberikan URL foto.
Jika pengguna memilih untuk tidak membagikan email aslinya kepada aplikasi Anda, Apple akan menyediakan
alamat email unik untuk dibagikan pengguna tersebut. Email ini berbentuk
xyz@privaterelay.appleid.com. Jika Anda mengonfigurasi layanan relay email
pribadi, Apple akan meneruskan email yang dikirim ke alamat anonim ke alamat email
asli pengguna.
Apple hanya membagikan informasi pengguna, seperti nama tampilan, kepada aplikasi saat
pengguna login untuk pertama kalinya. Pada umumnya, Identity Platform menyimpan data ini, yang memungkinkan Anda mengambilnya menggunakan firebase.auth().currentUser.displayName selama sesi mendatang. Namun, jika Anda mengizinkan pengguna login ke aplikasi menggunakan Apple sebelum berintegrasi dengan Identity Platform, informasi pengguna tidak akan tersedia.
Penghapusan akun pengguna
Apple mewajibkan aplikasi iOS yang mendukung pembuatan akun juga harus mengizinkan pengguna memulai penghapusan akun mereka dari dalam aplikasi.
Saat menghapus akun pengguna, Anda harus mencabut token pengguna sebelum menghapus akun pengguna, serta semua data yang Anda simpan untuknya di Firestore, Cloud Storage, dan Firebase Realtime Database. Untuk informasi selengkapnya, lihat Menawarkan penghapusan akun di aplikasi Anda dalam dokumentasi dukungan developer Apple.
Karena Identity Platform tidak menyimpan token pengguna saat pengguna dibuat dengan login Apple, Anda harus meminta pengguna untuk login sebelum mencabut token dan menghapus akun. Atau, untuk menghindari meminta pengguna login lagi jika pengguna login dengan login Apple, Anda dapat menyimpan kode otorisasi untuk digunakan kembali selama pencabutan token.
Untuk mencabut token pengguna dan menghapus akunnya, jalankan perintah berikut:
Swift
let user = Auth.auth().currentUser
// Check if the user has a token.
if let providerData = user?.providerData {
for provider in providerData {
guard let provider = provider as? FIRUserInfo else {
continue
}
if provider.providerID() == "apple.com" {
isAppleProviderLinked = true
}
}
}
// Re-authenticate the user and revoke their token
if isAppleProviderLinked {
let request = appleIDRequest(withState: "revokeAppleTokenAndDeleteUser")
let controller = ASAuthorizationController(authorizationRequests: [request])
controller.delegate = self
controller.presentationContextProvider = self
controller.performRequests()
} else {
// Usual user deletion
}
func authorizationController(
controller: ASAuthorizationController,
didCompleteWithAuthorization authorization: ASAuthorization
) {
if authorization.credential is ASAuthorizationAppleIDCredential {
let appleIDCredential = authorization.credential as? ASAuthorizationAppleIDCredential
if authorization.credential is ASAuthorizationAppleIDCredential {
if appleIDCredential.state == "signIn" {
// Sign in with Firebase.
// ...
} else if appleIDCredential.state == "revokeAppleTokenAndDeleteUser" {
// Revoke token with Firebase.
Auth.auth().revokeTokenWithAuthorizationCode(code) { error in
if error != nil {
// Token revocation failed.
} else {
// Token revocation succeeded then delete user again.
let user = Auth.auth().currentUser
user?.delete { error in
// ...
}
}
}
}
}
}
}
Objective-C
FIRUser *user = [FIRAuth auth].currentUser;
// Check if the user has a token.
BOOL isAppleProviderLinked = false;
for (id<FIRUserInfo> provider in user.providerData) {
if ([[provider providerID] isEqual:@"apple.com"]) {
isAppleProviderLinked = true;
}
}
// Re-authenticate the user and revoke their token
if (isAppleProviderLinked) {
if (@available(iOS 13, *)) {
ASAuthorizationAppleIDRequest *request =
[self appleIDRequestWithState:@"revokeAppleTokenAndDeleteUser"];
ASAuthorizationController *controller = [[ASAuthorizationController alloc]
initWithAuthorizationRequests:@[ request ]];
controller.delegate = self;
controller.presentationContextProvider = self;
[controller performRequests];
}
} else {
// Usual user deletion
}
- (void)authorizationController:(ASAuthorizationController *)controller
didCompleteWithAuthorization:(ASAuthorization *)authorization
API_AVAILABLE(ios(13.0)) {
if ([authorization.credential
isKindOfClass:[ASAuthorizationAppleIDCredential class]]) {
ASAuthorizationAppleIDCredential *appleIDCredential =
authorization.credential;
if ([appleIDCredential.state isEqualToString:@"signIn"]) {
// Sign in with Firebase.
// ...
} else if ([appleIDCredential.state
isEqualToString:@"revokeAppleTokenAndDeleteUser"]) {
// Revoke token with Firebase.
NSString *code =
[[NSString alloc] initWithData:appleIDCredential.authorizationCode
encoding:NSUTF8StringEncoding];
[[FIRAuth auth]
revokeTokenWithAuthorizationCode:code
completion:^(NSError *_Nullable error) {
if (error != nil) {
// Token revocation failed.
} else {
// Token revocation succeeded then delete
// user again.
FIRUser *user = [FIRAuth auth].currentUser;
[user deleteWithCompletion:^(
NSError *_Nullable error){
// ...
}];
}
}];
}
}
}
Langkah selanjutnya
- Pelajari pengguna Identity Platform lebih lanjut.
- Memproses login pengguna dengan penyedia identitas lainnya.