本文件將說明在瀏覽器上使用重新導向登入功能的最佳做法
並封鎖第三方 Cookie您必須採用本文列出的其中一個選項,signInWithRedirect()
才能在正式環境中透過任何瀏覽器正常運作。
總覽
為了讓
signInWithRedirect()
流程
Firebase Authentication JavaScript SDK 採用
可連結至應用程式 Firebase 託管網域的跨來源 iframe。
不過,如果是封鎖第三方功能的瀏覽器,就並不適用這項機制。
儲存空間存取權
由於要求使用者停用瀏覽器的儲存空間分區功能,這種情況很少見,因此建議您根據用途的特定用途,為應用程式套用下列其中一種設定選項。
- 如果您是在
firebaseapp.com
的子網域使用 Firebase 託管應用程式代管應用程式,則不會受到這項問題影響,因此無須採取任何行動。 - 如果您是透過自訂網域或
web.app
的子網域透過 Firebase 託管應用程式,請使用 選項 1: - 如果您透過 Firebase 以外的服務託管應用程式,請使用 選項 2、 選項 3、 選項 4、 或選項 5。
方法 1:更新 Firebase 設定,將自訂網域設為authDomain
如果您使用自訂網域透過 Firebase 託管來託管應用程式,可以
請設定 Firebase SDK,將自訂網域做為 authDomain
。這個
可確保應用程式和驗證 iframe 使用相同的網域,
登入問題。(如果您沒有使用 Firebase 託管,就必須使用
不同的選項)。確認你在同一個網域中設定自訂網域
。
如要更新 Firebase 設定,將自訂網域做為驗證網域,請按照下列步驟操作: 包括:
將 Firebase JS SDK 設為將自訂網域做為
authDomain
:const firebaseConfig = { apiKey: "<api-key>", authDomain: "<the-domain-that-serves-your-app>", databaseURL: "<database-url>", projectId: "<project-id>", appId: "<app-id>" };
將新的
authDomain
新增至 OAuth 供應商的授權清單 重新導向 URI執行方法取決於各供應商,但一般而言皆是如此 請按照「事前準備」部分 指示 (例如 Facebook 供應商)。更新後的 URI 授權看起來https://<the-domain-that-serves-your-app>/__/auth/handler
- 結尾/__/auth/handler
很重要。同樣地,如果您使用的是 SAML 提供者,請將新的
authDomain
新增至 SAML 宣告客戶服務 (ACS) 網址。確認
continue_uri
��列入授權���域清單。如有需要,請透過 Firebase 託管重新部署
/__/firebase/init.json
託管的最新 Firebase 設定檔。
方法 2:切換至 signInWithPopup()
以 signInWithPopup()
取代
signInWithRedirect()
。
應用程式的其他程式碼則維持不變,但 UserCredential 物件
個別擷取。
Web
// Before
// ==============
signInWithRedirect(auth, new GoogleAuthProvider());
// After the page redirects back
const userCred = await getRedirectResult(auth);
// After
// ==============
const userCred = await signInWithPopup(auth, new GoogleAuthProvider());
Web
// Before
// ==============
firebase.auth().signInWithRedirect(new firebase.auth.GoogleAuthProvider());
// After the page redirects back
var userCred = await firebase.auth().getRedirectResult();
// After
// ==============
var userCred = await firebase.auth().signInWithPopup(
new firebase.auth.GoogleAuthProvider());
```
彈出式視窗登入有時不見得適合使用者, 裝置和平台,行動裝置使用者的流程較不順暢。如果使用 彈出式視窗的應用程式有問題,您需要遵循 只要設定成「自動重新啟動」 和「在主機維護期間」選項即可
方法 3:透過 Proxy 將驗證要求傳送至 firebaseapp.com
signInWithRedirect
流程一開始會從您的應用程式網域重新導向至
Firebase 設定 authDomain
參數中指定的網域
(預設為「authDomain
會代管登入小幫手
重新導向至「身分提供程式」的程式碼,成功之後,會重新導向回
並上傳至應用程式網域
驗證流程返回您的應用程式網域時, 登入輔助網域這個選項和 (用來自行代管程式碼) 會消除跨來源儲存空間存取權,否則會遭到瀏覽器封鎖。
在應用程式伺服器上設定反向 Proxy,以便將 GET/POST 要求傳送至 系統已將
https://<app domain>/__/auth/
轉寄到https://<project>.firebaseapp.com/__/auth/
。 確保瀏覽器公開透明。但無法透過 302 重新導向進行如果您使用 nginx 提供自訂網域,反向 Proxy 設定會如下所示:
# reverse proxy for signin-helpers for popup/redirect sign in. location /__/auth { proxy_pass https://<project>.firebaseapp.com; }
請按照 選項 1 更新授權的
redirect_uri
、ACS 網址和您的authDomain
。重新部署之後 時,應不會再有跨來源儲存空間存取權。
方法 4:自行託管網域中的登入輔助程式碼
取消跨來源儲存空間存取權的另一個方法是自行託管 Firebase 登入輔助程式碼。不過,這種方法不適用於 Apple 登入或 SAML 登入。只有在以下時間點採用反向 Proxy 的情況下,才能使用這個選項 選項 3 不適用
代管輔助程式碼的步驟如下:
下載以下
<project>.firebaseapp.com
位置要代管的檔案: 執行下列指令:mkdir signin_helpers/ && cd signin_helpers wget https://<project>.firebaseapp.com/__/auth/handler wget https://<project>.firebaseapp.com/__/auth/handler.js wget https://<project>.firebaseapp.com/__/auth/experiments.js wget https://<project>.firebaseapp.com/__/auth/iframe wget https://<project>.firebaseapp.com/__/auth/iframe.js wget https://<project>.firebaseapp.com/__/firebase/init.json
請在您的應用程式網域下代管上述檔案。確認網路伺服器 可以回應
https://<app domain>/__/auth/<filename>
和https://<app domain>/__/firebase/init.json
。以下是下載及代管檔案的伺服器實作範例。 建議您定期下載並同步處理檔案,確保獲得最新的錯誤修正及功能。
請按照 選項 1 更新已授權的
redirect_uri
和您的authDomain
。重新部署之後 時,應不會再有跨來源儲存空間存取權。
選項 5:獨立處理供應商登入作業
Firebase Authentication SDK 提供
signInWithPopup()
和
signInWithRedirect()
,目前擔任
方便包裝複雜邏輯並避免
其他 SDK。您可以避免單獨使用上述任一方法,
連結供應商,
signInWithCredential()
到
也就是將供應商的憑證交換為 Firebase 驗證憑證。
舉例來說,您可以使用
Google Sign In SDK
程式碼範例
取得 Google 帳戶憑證,然後將新的 Google 憑證執行個體化
請執行下列程式碼:
Web
// `googleUser` from the onsuccess Google Sign In callback.
// googUser = gapi.auth2.getAuthInstance().currentUser.get();
const credential = GoogleAuthProvider.credential(googleUser.getAuthResponse().id_token);
const result = await signInWithCredential(auth, credential);
Web
// `googleUser` from the onsuccess Google Sign In callback.
const credential = firebase.auth.GoogleAuthProvider.credential(
googleUser.getAuthResponse().id_token);
const result = await firebase.auth().signInWithCredential(credential);
呼叫 signInWithCredential()
後,應用程式的其餘部分就會運作
做法和之前一樣
取得 Apple 憑證的操作說明如下 請按這裡。