Puoi utilizzare Firebase Authentication per consentire a un utente di accedere inviando un messaggio SMS al suo smartphone. L'utente accede utilizzando un codice monouso contenuto nel messaggio SMS.
Il modo più semplice per aggiungere l'accesso con il numero di telefono alla tua app è utilizzare FirebaseUI, che include un widget di accesso drop-in che implementa i flussi di accesso per l'accesso con il numero di telefono, nonché l'accesso basato su password e federato. Questo documento descrive come implementare un flusso di accesso con il numero di telefono utilizzando l'SDK Firebase.
Prima di iniziare
Se non l'hai già fatto, copia lo snippet di inizializzazione dalla Firebase console nel tuo progetto come descritto in Aggiungere Firebase al progetto JavaScript.Problemi di sicurezza
L'autenticazione che utilizza solo un numero di telefono, sebbene comoda, è meno sicura degli altri metodi disponibili, perché la proprietà di un numero di telefono può essere facilmente trasferita tra gli utenti. Inoltre, sui dispositivi con più profili utente, qualsiasi utente che può ricevere messaggi SMS può accedere a un account utilizzando il numero di telefono del dispositivo.
Se utilizzi l'accesso basato sul numero di telefono nella tua app, dovresti offrirlo insieme a metodi di accesso più sicuri e informare gli utenti dei compromessi di sicurezza dell'utilizzo dell'accesso con il numero di telefono.
Attivare l'accesso con il numero di telefono per il progetto Firebase
Per consentire agli utenti di accedere tramite SMS, devi prima attivare il metodo di accesso con il numero di telefono per il tuo progetto Firebase:
- Nella Firebase console, apri la sezione Autenticazione.
- Nella pagina Metodo di accesso, attiva il metodo di accesso Numero di telefono.
- Nella pagina Impostazioni, imposta un criterio per le regioni a cui vuoi consentire o negare l'invio di messaggi SMS. Per i nuovi progetti, il criterio predefinito non consente alcuna regione.
- Nella stessa pagina, se il dominio che ospiterà la tua app non è elencato nella sezione Domini di reindirizzamento OAuth, aggiungi il tuo dominio. Tieni presente che localhost non è consentito come dominio ospitato ai fini dell'autenticazione telefonica.
Configurare il verificatore reCAPTCHA
Prima di poter consentire agli utenti di accedere con i loro numeri di telefono, devi configurare il verificatore reCAPTCHA di Firebase. Firebase utilizza reCAPTCHA per prevenire comportamenti illeciti, ad esempio assicurandosi che la richiesta di verifica del numero di telefono provenga da uno dei domini consentiti della tua app.
Non devi configurare manualmente un client reCAPTCHA; quando utilizzi l'oggetto RecaptchaVerifier dell'SDK
Firebase, Firebase crea e gestisce automaticamente
tutte le chiavi e i secret client necessari.
L'RecaptchaVerifier oggetto supporta
reCAPTCHA invisibile, che spesso può verificare l'utente senza richiedere alcuna
azione da parte dell'utente, nonché il widget reCAPTCHA, che richiede sempre l'interazione dell'utente
per essere completato correttamente.
Il reCAPTCHA di cui è stato eseguito il rendering sottostante può essere localizzato in base alle preferenze dell'utente aggiornando il codice lingua nell'istanza Auth prima di eseguire il rendering del reCAPTCHA. La localizzazione di cui sopra verrà applicata anche al messaggio SMS inviato all'utente, contenente il codice di verifica.
Web
import { getAuth } from "firebase/auth"; const auth = getAuth(); auth.languageCode = 'it'; // To apply the default browser preference instead of explicitly setting it. // auth.useDeviceLanguage();
Web
firebase.auth().languageCode = 'it'; // To apply the default browser preference instead of explicitly setting it. // firebase.auth().useDeviceLanguage();
Utilizzare reCAPTCHA invisibile
Per utilizzare un reCAPTCHA invisibile, crea un oggetto RecaptchaVerifier
con il parametro size impostato su invisible, specificando
l'ID del pulsante che invia il modulo di accesso. Ad esempio:
Web
import { getAuth, RecaptchaVerifier } from "firebase/auth"; const auth = getAuth(); window.recaptchaVerifier = new RecaptchaVerifier(auth, 'sign-in-button', { 'size': 'invisible', 'callback': (response) => { // reCAPTCHA solved, allow signInWithPhoneNumber. onSignInSubmit(); } });
Web
window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('sign-in-button', { 'size': 'invisible', 'callback': (response) => { // reCAPTCHA solved, allow signInWithPhoneNumber. onSignInSubmit(); } });
Utilizzare il widget reCAPTCHA
Per utilizzare il widget reCAPTCHA visibile, crea un elemento nella pagina che
contenga il widget, quindi crea un oggetto RecaptchaVerifier,
specificando l'ID del contenitore. Ad esempio:
Web
import { getAuth, RecaptchaVerifier } from "firebase/auth"; const auth = getAuth(); window.recaptchaVerifier = new RecaptchaVerifier(auth, 'recaptcha-container', {});
Web
window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container');
(Facoltativo) Specificare i parametri reCAPTCHA
Facoltativamente, puoi impostare le funzioni di callback sull'
RecaptchaVerifier oggetto che vengono chiamate quando l'utente risolve il
reCAPTCHA o quando il reCAPTCHA scade prima che l'utente invii il modulo:
Web
import { getAuth, RecaptchaVerifier } from "firebase/auth"; const auth = getAuth(); window.recaptchaVerifier = new RecaptchaVerifier(auth, 'recaptcha-container', { 'size': 'normal', 'callback': (response) => { // reCAPTCHA solved, allow signInWithPhoneNumber. // ... }, 'expired-callback': () => { // Response expired. Ask user to solve reCAPTCHA again. // ... } });
Web
window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container', { 'size': 'normal', 'callback': (response) => { // reCAPTCHA solved, allow signInWithPhoneNumber. // ... }, 'expired-callback': () => { // Response expired. Ask user to solve reCAPTCHA again. // ... } });
(Facoltativo) Eseguire il pre-rendering del reCAPTCHA
Se vuoi eseguire il pre-rendering del reCAPTCHA prima di inviare una richiesta di accesso,
chiama render:
Web
recaptchaVerifier.render().then((widgetId) => { window.recaptchaWidgetId = widgetId; });
Web
recaptchaVerifier.render().then((widgetId) => { window.recaptchaWidgetId = widgetId; });
Dopo che render è stato risolto, ricevi l'ID del widget reCAPTCHA, che
puoi utilizzare per effettuare chiamate all'
API reCAPTCHA:
Web
const recaptchaResponse = grecaptcha.getResponse(recaptchaWidgetId);
Web
const recaptchaResponse = grecaptcha.getResponse(recaptchaWidgetId);
Inviare un codice di verifica allo smartphone dell'utente
Per avviare l'accesso con il numero di telefono, presenta all'utente un'interfaccia che gli chiede
di fornire il suo numero di telefono, quindi chiama
signInWithPhoneNumber per richiedere a Firebase di inviare un
codice di autenticazione allo smartphone dell'utente tramite SMS:
-
Recupera il numero di telefono dell'utente.
I requisiti legali variano, ma come best practice e per impostare le aspettative per i tuoi utenti, dovresti informarli che se utilizzano l'accesso con il numero di telefono, potrebbero ricevere un messaggio SMS per la verifica e che si applicano le tariffe standard.
- Chiama
signInWithPhoneNumber, passandogli il numero di telefono dell'utente e ilRecaptchaVerifierche hai creato in precedenza.SeWeb
import { getAuth, signInWithPhoneNumber } from "firebase/auth"; const phoneNumber = getPhoneNumberFromUserInput(); const appVerifier = window.recaptchaVerifier; const auth = getAuth(); signInWithPhoneNumber(auth, phoneNumber, appVerifier) .then((confirmationResult) => { // SMS sent. Prompt user to type the code from the message, then sign the // user in with confirmationResult.confirm(code). window.confirmationResult = confirmationResult; // ... }).catch((error) => { // Error; SMS not sent // ... });
Web
const phoneNumber = getPhoneNumberFromUserInput(); const appVerifier = window.recaptchaVerifier; firebase.auth().signInWithPhoneNumber(phoneNumber, appVerifier) .then((confirmationResult) => { // SMS sent. Prompt user to type the code from the message, then sign the // user in with confirmationResult.confirm(code). window.confirmationResult = confirmationResult; // ... }).catch((error) => { // Error; SMS not sent // ... });
signInWithPhoneNumbergenera un errore, reimposta il reCAPTCHA in modo che l'utente possa riprovare:grecaptcha.reset(window.recaptchaWidgetId); // Or, if you haven't stored the widget ID: window.recaptchaVerifier.render().then(function(widgetId) { grecaptcha.reset(widgetId); });
Il metodo signInWithPhoneNumber invia la richiesta di verifica reCAPTCHA
all'utente e, se l'utente supera la richiesta di verifica, richiede a
Firebase Authentication di inviare un messaggio SMS contenente un codice di verifica allo
smartphone dell'utente.
Consentire all'utente di accedere con il codice di verifica
Una volta completata la chiamata a signInWithPhoneNumber, chiedi all'
utente di digitare il codice di verifica che ha ricevuto tramite SMS. Quindi, consenti all'utente di accedere
passando il codice al metodo confirm dell'
ConfirmationResult oggetto che è stato passato al gestore di completamento di
signInWithPhoneNumber (ovvero il blocco
then). Ad esempio:
Web
const code = getCodeFromUserInput(); confirmationResult.confirm(code).then((result) => { // User signed in successfully. const user = result.user; // ... }).catch((error) => { // User couldn't sign in (bad verification code?) // ... });
Web
const code = getCodeFromUserInput(); confirmationResult.confirm(code).then((result) => { // User signed in successfully. const user = result.user; // ... }).catch((error) => { // User couldn't sign in (bad verification code?) // ... });
Se la chiamata a confirm è andata a buon fine, l'utente ha eseguito l'accesso correttamente.
Recuperare l'oggetto AuthCredential intermedio
Se devi recuperare un AuthCredential oggetto per l'account dell'utente, passa il codice di verifica dal risultato della conferma e il codice di verifica a PhoneAuthProvider.credential anziché chiamare confirm:
var credential = firebase.auth.PhoneAuthProvider.credential(confirmationResult.verificationId, code);
Quindi, puoi consentire all'utente di accedere con le credenziali:
firebase.auth().signInWithCredential(credential);
Eseguire test con numeri di telefono fittizi
Puoi configurare numeri di telefono fittizi per lo sviluppo tramite la Firebase console. I test con numeri di telefono fittizi offrono i seguenti vantaggi:
- Testare l'autenticazione con il numero di telefono senza consumare la quota di utilizzo.
- Testare l'autenticazione con il numero di telefono senza inviare un messaggio SMS effettivo.
- Eseguire test consecutivi con lo stesso numero di telefono senza essere limitato. In questo modo, si riduce al minimo il rischio di rifiuto durante la procedura di revisione dell'App Store se il revisore utilizza lo stesso numero di telefono per i test.
- Eseguire facilmente i test negli ambienti di sviluppo senza ulteriori sforzi, ad esempio la possibilità di sviluppare in un simulatore iOS o in un emulatore Android senza Google Play Services.
- Scrivere test di integrazione senza essere bloccati dai controlli di sicurezza normalmente applicati ai numeri di telefono reali in un ambiente di produzione.
I numeri di telefono fittizi devono soddisfare i seguenti requisiti:
- Assicurati di utilizzare numeri di telefono effettivamente fittizi e che non esistano già. Firebase Authentication non ti consente di impostare come numeri di test i numeri di telefono esistenti utilizzati da utenti reali. Un'opzione è utilizzare i numeri con prefisso 555 come numeri di telefono di test statunitensi, ad esempio: +1 650-555-3434
- I numeri di telefono devono essere formattati correttamente per lunghezza e altri vincoli. Verranno comunque sottoposti alla stessa convalida del numero di telefono di un utente reale.
- Puoi aggiungere fino a 10 numeri di telefono per lo sviluppo.
- Utilizza codici/numeri di telefono di test difficili da indovinare e modificali di frequente.
Creare numeri di telefono fittizi e codici di verifica
- Nella Firebase console, apri la sezione Autenticazione.
- Nella scheda Metodo di accesso , attiva il provider di telefonia, se non l'hai già fatto.
- Apri il menu a fisarmonica Numeri di telefono per i test.
- Fornisci il numero di telefono che vuoi testare, ad esempio: +1 650-555-3434.
- Fornisci il codice di verifica a 6 cifre per quel numero specifico, ad esempio: 654321.
- Aggiungi il numero. Se necessario, puoi eliminare il numero di telefono e il relativo codice passando il mouse sopra la riga corrispondente e facendo clic sull'icona del cestino.
Test manuale
Puoi iniziare subito a utilizzare un numero di telefono fittizio nella tua applicazione. In questo modo, puoi eseguire test manuali durante le fasi di sviluppo senza riscontrare problemi di quota o limitazione. Puoi anche eseguire i test direttamente da un simulatore iOS o da un emulatore Android senza Google Play Services installato.
Quando fornisci il numero di telefono fittizio e invii il codice di verifica, non viene inviato alcun SMS effettivo. inviato. Dovrai invece fornire il codice di verifica configurato in precedenza per completare l'accesso.
Al termine dell'accesso, viene creato un utente Firebase con quel numero di telefono. L'utente ha lo stesso comportamento e le stesse proprietà di un utente con un numero di telefono reale e può accedere a Realtime Database/Cloud Firestore e ad altri servizi nello stesso modo. Il token ID generato durante questa procedura ha la stessa firma di un utente con un numero di telefono reale.
Un'altra opzione è impostare un ruolo di test tramite le attestazioni personalizzate per questi utenti per distinguerli come utenti falsi se vuoi limitare ulteriormente l'accesso.
Test di integrazione
Oltre ai test manuali, Firebase Authentication fornisce API per aiutarti a scrivere test di integrazione per i test di autenticazione telefonica. Queste API disabilitano la verifica dell'app disattivando il requisito reCAPTCHA nel web e le notifiche push silenziose in iOS. In questo modo, è possibile eseguire test di automazione in questi flussi e semplificarne l'implementazione. Inoltre, consentono di testare i flussi di verifica immediata su Android.
Sul web, imposta appVerificationDisabledForTesting su
true prima di eseguire il rendering di firebase.auth.RecaptchaVerifier. In questo modo, reCAPTCHA viene risolto automaticamente, consentendoti di passare il numero di telefono senza risolverlo manualmente. Tieni presente
che, anche se reCAPTCHA è disattivato, l'utilizzo di un numero di telefono non fittizio non consentirà di
completare l'accesso. Con questa API possono essere utilizzati solo numeri di telefono fittizi.
// Turn off phone auth app verification. firebase.auth().settings.appVerificationDisabledForTesting = true; var phoneNumber = "+16505554567"; var testVerificationCode = "123456"; // This will render a fake reCAPTCHA as appVerificationDisabledForTesting is true. // This will resolve after rendering without app verification. var appVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container'); // signInWithPhoneNumber will call appVerifier.verify() which will resolve with a fake // reCAPTCHA response. firebase.auth().signInWithPhoneNumber(phoneNumber, appVerifier) .then(function (confirmationResult) { // confirmationResult can resolve with the fictional testVerificationCode above. return confirmationResult.confirm(testVerificationCode) }).catch(function (error) { // Error; SMS not sent // ... });
I verificatori di app reCAPTCHA simulati visibili e invisibili si comportano in modo diverso quando la verifica dell'app è disattivata:
- reCAPTCHA visibile: quando viene eseguito il rendering del reCAPTCHA visibile tramite
appVerifier.render(), si risolve automaticamente dopo una frazione di secondo di ritardo. Questo equivale a un utente che fa clic su reCAPTCHA immediatamente dopo il rendering. La risposta reCAPTCHA scadrà dopo un po' di tempo e poi si risolverà automaticamente di nuovo. - reCAPTCHA invisibile:
Il reCAPTCHA invisibile non si risolve automaticamente durante il rendering, ma lo fa durante la
appVerifier.verify()chiamata o quando si fa clic sull'ancoraggio del pulsante del reCAPTCHA dopo una frazione di secondo di ritardo. Allo stesso modo, la risposta scadrà dopo un po' di tempo e si risolverà automaticamente solo dopo la chiamataappVerifier.verify()o quando si fa di nuovo clic sull' ancoraggio del pulsante del reCAPTCHA.
Ogni volta che un reCAPTCHA simulato viene risolto, la funzione di callback corrispondente viene attivata come previsto con la risposta fittizia. Se viene specificata anche una callback di scadenza, questa verrà attivata alla scadenza.
Passaggi successivi
Dopo che un utente ha eseguito l'accesso per la prima volta, viene creato un nuovo account utente e collegato alle credenziali, ovvero il nome utente e la password, il numero di telefono o le informazioni del provider di autenticazione con cui l'utente ha eseguito l'accesso. Questo nuovo account viene archiviato come parte del tuo progetto Firebase e può essere utilizzato per identificare un utente in ogni app del tuo progetto, indipendentemente dalla modalità di accesso dell'utente.
-
Nelle tue app, il modo consigliato per conoscere lo stato di autenticazione dell'utente è impostare un observer sull'oggetto
Auth. Puoi quindi ottenere le informazioni di base del profilo dell'utente dall'oggettoUser. Consulta Gestire gli utenti. Nelle regole di sicurezza di Firebase Realtime Database e Cloud Storage , puoi ottenere l'ID utente univoco dell'utente che ha eseguito l'accesso dalla variabile
auth, e utilizzarlo per controllare i dati a cui un utente può accedere.
Per disconnettere un utente, chiama
signOut:
Web
import { getAuth, signOut } from "firebase/auth"; const auth = getAuth(); signOut(auth).then(() => { // Sign-out successful. }).catch((error) => { // An error happened. });
Web
firebase.auth().signOut().then(() => { // Sign-out successful. }).catch((error) => { // An error happened. });