[英]Firebase Authentication with Google issue
我一直在我的应用程序中使用 Firebase 身份验证,并注意到一个特定用例的问题。
我为我的应用程序启用了帐户链接注册流程,因此我可以附加与单个电子邮件地址关联的多个提供商。
场景 1:(工作正常)
用户最初与 Google 注册,稍后使用 Facebook 登录或使用电子邮件和密码注册。
帐户链接工作正常,并且 Facebook 和/或电子邮件已添加到提供商列表中。
因此,我可以有 2 或 3 个电子邮件提供商,Google(最初)、Facebook 和密码(之后)。
场景2:(错误)
用户最初使用 Facebook 和/或电子邮件注册,后来使用 Google 登录,现在帐户链接不起作用。 谷歌替换了以前的提供者。
帐户链接失败,我只是将 Google 作为与电子邮件地址关联的唯一提供商,而其他提供商都消失了。
在第二种情况下,当使用 Google 登录时,它应该失败并抛出FirebaseAuthCollisionException但它没有成功。 这是主要问题。
我不能在这里粘贴整个代码,但肯定只是一个片段。
firebaseAuth
.signInWithCredential(credential)
.addOnFailureListener(exception -> {
if (exception instanceof FirebaseAuthUserCollisionException) {
mCredentialToLinkWith = credential;
if (mProviderList.size() == 1) {
if (mProviderList.contains(EmailAuthProvider.PROVIDER_ID)) {
mRegisterProviderPresenter.linkWithEmailProvider(credential, email);
} else {
linkProviderAccounts(email, AuthenticationHelper.getProviderToLinkAccounts(mWeakActivity, mProviderList));
}
} else {
linkProviderAccounts(email, AuthenticationHelper.getProviderToLinkAccounts(mWeakActivity, mProviderList));
}
} else {
Timber.d("Failed in signInWithCredential and unexpected exception %s", exception.getLocalizedMessage());
mRegisterProviderPresenter.onRegistrationFailed(new ErrorBundle(ErrorBundle.FIREBASE_ERROR, exception.getLocalizedMessage()));
}
})
.addOnSuccessListener(authResult -> {
Timber.d("Success: signInCred");
FirebaseUser firebaseUser = authResult.getUser();
/**
* Store the user details only for first time registration
* and not while acc linking
*/
storeUserCredentials(firebaseUser);
AuthenticationHelper.logUserDetails(firebaseUser);
mRegisterProviderPresenter.onRegistrationSuccess(mAlreadyRegistered);
});
希望有人能提出一些帮助。
Facebook 是一个社交身份提供商,它不拥有电子邮件。 如果电子邮件被黑客入侵,Facebook 无法检测到它并禁用通过该电子邮件注册的帐户。 虽然 Google 是电子邮件提供商,但其帐户被认为更安全。
基于这个理论,场景2不同于1。在场景1中,用户首先通过谷歌签名证明了这封电子邮件的所有权。 因此,允许用户使用同一电子邮件添加 Facebook 帐户。 在场景 2 中,首先登录 Facebook,并且此提供商记录不受信任,因此当用户通过另一个受信任的提供商登录时,它会被删除。
您的代码行为在这两种情况下都是正确的。
我遇到了同样的问题,这是评论中问题的补充答案,即
Why is that after initially registering with a email & password, and then with Google, Google still replaces it?
我做了一些更多的探索并在这里找到了答案。
粘贴相关代码段。
如果存在具有相同电子邮件地址但使用不受信任的凭据(例如不受信任的提供商或密码)创建的现有帐户,则出于安全原因删除先前的凭据。 网络钓鱼者(不是电子邮件地址所有者)可能会创建初始帐户 - 删除初始凭据将阻止网络钓鱼者随后访问该帐户。
处理此问题的解决方案,即防止 Google 用 Google 替换现有提供商,是验证用户的电子邮件。
因此,在用户使用电子邮件和密码创建帐户或使用 Facebook(或任何其他提供商)登录后,向用户发送电子邮件验证链接。
用户验证他/她的电子邮件后,随后的Sign-in with Google将不会替换现有的提供商。
暂时只使用电子邮件和密码身份验证或第 3 方插件目前尚无解决方案
Google端点框架和Firebase身份验证问题(在配置中未定义身份验证提供程序)
[英]Google endpoints framework and firebase authentication issue (No auth providers are defined in the config)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.