Firebase JS API 身份验证 - 具有不同凭据的帐户存在

Question

我们在尝试解决这个问题时遇到了真正的问题，因此希望得到一些 Firebase 帮助/那些已经解决了同样问题的人。

该应用是 React Native (0.43.2) 并使用 Firebase JS API（最新）

我们提供 Facebook 和 Google 身份验证。工作正常。

但是，如果用户：

1. 用 Facebook 登录（没问题）
2. 稍后，使用 Google 登录（也可以）
3. 稍后，尝试使用 Facebook 登录 - BOOM！不太好，Firebase 返回此错误：

auth/account-exists-with-different-credential

通过阅读文档和一些关于 SO 的帖子，我们认为以下内容是正确的，但显然不是正确的，因为我们得到了相同的身份验证错误。

...error returned by Firebase auth after trying Facebook login...

const email = error.email;
const pendingCred = error.credential;

firebase.auth().fetchProvidersForEmail(email)
.then(providers => {
   //providers returns this array -> ["google.com"]
   firebase.auth().signInWithCredential(pendingCred)
   .then(result => {
       result.user.link(pendingCred)
   })
   .catch(error => log(error))

对 signInWithCredential 的调用引发了相同的错误 auth/account-exists-with-different-credential。

谁能帮忙指出我们在这个实现中做错了什么？非常感谢。

Answer 1

有时 Firebase 文档很棒，而有时它会让您想要更多。在这种情况下，在处理错误时，它在signInWithPopup 上给出了非常详细的说明。但是，signInWithRedirect 的全部说明是……

重定向模式

此错误在重定向模式中以类似的方式处理，不同之处在于必须在页面重定向之间缓存挂起的凭据（例如，使用会话存储）。

根据@bojeil 和@Dominic 的回答，您可以通过以下方式将Facebook 帐户与调用signInWithRedirect 的Google 帐户关联起来。

const providers = {
  google: new firebase.auth.GoogleAuthProvider(),
  facebook: new firebase.auth.FacebookAuthProvider(),
  twitter: new firebase.auth.TwitterAuthProvider(),
};

const handleAuthError = async (error) => {
  if (error.email && error.credential && error.code === 'auth/account-exists-with-different-credential') {
    // We need to retain access to the credential stored in `error.credential`
    // The docs suggest we use session storage, so we'll do that.

    sessionStorage.setItem('credential', JSON.stringify(error.credential));

    const signInMethods = await firebase.auth().fetchSignInMethodsForEmail(error.email); // -> ['google.com']
    const providerKey = signInMethods[0].split('.')[0]; // -> 'google'
    const provider = providers[providerKey]; // -> providers.google

    firebase.auth().signInWithRedirect(provider);
  }
};

const handleRedirect = async () => {
  try {
    const result = await firebase.auth().getRedirectResult();
    const savedCredential = sessionStorage.getItem('credential');

    // we found a saved credential in session storage
    if (result.user && savedCredential) {
      handleLinkAccounts(result.user, savedCredential);
    }
    return result;
  }
  catch (error) {
    handleAuthError(error);
  }
};

const handleLinkAccounts = (authUser, savedCredential) => {
  // Firebase has this little hidden gem of a method call fromJSON
  // You can use this method to parse the credential saved in session storage
  const token = firebase.auth.AuthCredential.fromJSON(savedCredential);

  const credential = firebase.auth.FacebookAuthProvider.credential(token);
  authUser.linkWithCredential(credential);

  // don't forget to remove the credential
  sessionStorage.removeItem('credential');
};

firebase.auth().onAuthStateChanged((authUser) => {
  handleRedirect();
});

Answer 2

我已经写过如何在无需再次登录的情况下执行此操作：

https://blog.wedport.co.uk/2020/05/29/react-native-firebase-auth-with-linking/

在关联帐户之前，您需要存储原始凭据并检索以静默登录。完整代码链接：

signInOrLink: async function (provider, credential, email) {
  this.saveCredential(provider, credential)
  await auth().signInWithCredential(credential).catch(
    async (error) => {
      try {
        if (error.code != "auth/account-exists-with-different-credential") {
          throw error;
        }
        let methods = await auth().fetchSignInMethodsForEmail(email);
        let oldCred = await this.getCredential(methods[0]);
        let prevUser = await auth().signInWithCredential(oldCred);
        auth().currentUser.linkWithCredential(credential);
      }
      catch (error) {
        throw error;
      }
    }
  );

}

Answer 3

我向 Firebase 支持部门发送了电子邮件，他们向我解释了更多信息。用他们自己的话说：

为了提供上下文，不同的电子邮件有自己的身份提供者。如果用户的电子邮件地址为 sample@gmail.com，则该电子邮件的 IDP（身份提供商）将是 Google，由域 @gmail.com 指定（对于域为 @ 的电子邮件而言，这将不成立） mycompany.com 或@yahoo.com）。

Firebase 身份验证允许在检测到使用的提供商是电子邮件的 IDP 时进行登录，无论他们是否使用“每个电子邮件地址一个帐户”设置并使用之前的提供商登录，例如基于电子邮件/密码的身份验证或任何联合身份提供商，例如 Facebook。这意味着，如果他们使用电子邮件和密码登录 sample@gmail.com，然后使用 Google（在每个电子邮件地址设置一个帐户下），Firebase 将允许后者，并且帐户的提供商将更新为 Google。原因是 IDP 很可能拥有有关电子邮件的最新信息。

另一方面，如果他们首先使用 Google 登录，然后使用具有相同关联电子邮件的电子邮件和密码帐户登录，我们将不想更新他们的 IDP，并将继续使用默认行为通知已经是与该电子邮件关联的帐户的用户。

Answer 4

我觉得 Firebase 选择此行为作为默认行为很奇怪且不方便，而且解决方案并非易事。在撰写本文时，这是基于@bojeil 的回答的完整且更新的 Firebase 解决方案。

function getProvider(providerId) {
  switch (providerId) {
    case firebase.auth.GoogleAuthProvider.PROVIDER_ID:
      return new firebase.auth.GoogleAuthProvider();
    case firebase.auth.FacebookAuthProvider.PROVIDER_ID:
      return new firebase.auth.FacebookAuthProvider();
    case firebase.auth.GithubAuthProvider.PROVIDER_ID:
      return new firebase.auth.GithubAuthProvider();
    default:
      throw new Error(`No provider implemented for ${providerId}`);
  }
}

const supportedPopupSignInMethods = [
  firebase.auth.GoogleAuthProvider.PROVIDER_ID,
  firebase.auth.FacebookAuthProvider.PROVIDER_ID,
  firebase.auth.GithubAuthProvider.PROVIDER_ID,
];

async function oauthLogin(provider) {
  try {
    await firebase.auth().signInWithPopup(provider);
  } catch (err) {
    if (err.email && err.credential && err.code === 'auth/account-exists-with-different-credential') {
      const providers = await firebase.auth().fetchSignInMethodsForEmail(err.email)
      const firstPopupProviderMethod = providers.find(p => supportedPopupSignInMethods.includes(p));

      // Test: Could this happen with email link then trying social provider?
      if (!firstPopupProviderMethod) {
        throw new Error(`Your account is linked to a provider that isn't supported.`);
      }

      const linkedProvider = getProvider(firstPopupProviderMethod);
      linkedProvider.setCustomParameters({ login_hint: err.email });

      const result = await firebase.auth().signInWithPopup(linkedProvider);
      result.user.linkWithCredential(err.credential);
    }

    // Handle errors...
    // toast.error(err.message || err.toString());
  }
}

Answer 5

发生的情况是 Firebase 对所有电子邮件强制使用相同的帐户。由于您已经拥有同一电子邮件的 Google 帐户，因此您需要将该 Facebook 帐户链接到 Google 帐户，以便用户可以访问相同的数据，并且下次能够使用 Google 或 Facebook 登录到相同的帐户。

您的 sn-p 中的问题是您使用相同的凭据进行签名和链接。修改如下。 当您收到错误“auth/account-exists-with-different-credential”时， 错误将包含 error.email 和 error.credential（Facebook OAuth 凭据）。您需要先查找 error.email 以获取现有提供程序。

firebase.auth().fetchProvidersForEmail(error.email)
  .then(providers => {
    //providers returns this array -> ["google.com"]
    // You need to sign in the user to that google account
    // with the same email.
    // In a browser you can call:
    // var provider = new firebase.auth.GoogleAuthProvider();
    // provider.setCustomParameters({login_hint: error.email});
    // firebase.auth().signInWithPopup(provider)
    // If you have your own mechanism to get that token, you get it
    // for that Google email user and sign in
    firebase.auth().signInWithCredential(googleCred)
      .then(user => {
        // You can now link the pending credential from the first
        // error.
        user.linkWithCredential(error.credential)
      })
      .catch(error => log(error))

Answer 6

由于 google 是 @gmail.com 地址的受信任提供商，因此它比使用 gmail 作为其电子邮件地址的其他帐户具有更高的优先级。这就是为什么如果您使用 Facebook 登录，则 Gmail 不会引发错误，但如果您尝试将 Gmail 转到 Facebook，则会引发错误。

见this question。

如果您想允许多个帐户使用同一电子邮件，请转到 Firebase 控制台并在身份验证 -> 登录方法下，底部应该有一个选项可以切换。