Esegui l'autenticazione con Firebase su Android utilizzando un numero di telefono

Puoi utilizzare Firebase Authentication per far accedere un utente inviando un messaggio SMS al suo telefono. L'utente accede utilizzando un codice monouso contenuto nel messaggio SMS.

Il modo più semplice per aggiungere l'accesso tramite numero di telefono alla tua app è utilizzare FirebaseUI, che include un widget di accesso integrato che implementa i flussi di accesso per l'accesso tramite numero di telefono, nonché l'accesso tramite password e federato. Questo documento descrive come implementare un flusso di accesso tramite numero di telefono utilizzando l'SDK Firebase.

Prima di iniziare

  1. Se non l'hai già fatto, aggiungi Firebase al tuo progetto Android.
  2. Nel file Gradle del modulo (a livello di app) (di solito <project>/<app-module>/build.gradle.kts o <project>/<app-module>/build.gradle), aggiungi la dipendenza per la libreria Firebase Authentication per Android. Ti consigliamo di utilizzare Firebase Android BoM per controllare la gestione delle versioni delle librerie.
    dependencies {
        // Import the BoM for the Firebase platform
        implementation(platform("com.google.firebase:firebase-bom:33.7.0"))
    
        // Add the dependency for the Firebase Authentication library
        // When using the BoM, you don't specify versions in Firebase library dependencies
        implementation("com.google.firebase:firebase-auth")
    }

    Con Firebase Android BoM, la tua app utilizzerà sempre versioni compatibili delle librerie Firebase per Android.

    (Alternativa)  Aggiungi le dipendenze della libreria Firebase senza utilizzare il file BoM

    Se scegli di non utilizzare Firebase BoM, devi specificare ogni versione della libreria Firebase nella relativa riga di dipendenza.

    Tieni presente che se nella tua app utilizzi più librerie Firebase, ti consigliamo vivamente di utilizzare BoM per gestire le versioni delle librerie, in modo da garantire la compatibilità di tutte le versioni.

    dependencies {
        // Add the dependency for the Firebase Authentication library
        // When NOT using the BoM, you must specify versions in Firebase library dependencies
        implementation("com.google.firebase:firebase-auth:23.1.0")
    }
    Cerchi un modulo della libreria specifico per Kotlin? A partire da ottobre 2023 (Firebase BoM 32.5.0), sia gli sviluppatori Kotlin che Java possono fare affidamento sul modulo della libreria principale (per maggiori dettagli, consulta le Domande frequenti su questa iniziativa).
  3. Se non hai ancora collegato l'app al progetto Firebase, fallo dalla console Firebase.
  4. Se non l'hai ancora fatto, imposta l'hash SHA-1 della tua app nella console Firebase. Consulta Autentificazione del client per informazioni su come trovare l'hash SHA-1 della tua app.

Problemi di sicurezza

L'autenticazione utilizzando solo un numero di telefono, sebbene comoda, è meno sicura rispetto agli altri metodi disponibili, perché il possesso di un numero di telefono può essere trasferito facilmente da un utente all'altro. Inoltre, sui dispositivi con più profili utente, qualsiasi utente che può ricevere messaggi SMS può accedere a un account utilizzando il numero di telefono del dispositivo.

Se nella tua app utilizzi l'accesso tramite numero di telefono, devi offrirlo insieme a metodi di accesso più sicuri e informare gli utenti dei compromessi in termini di sicurezza dell'utilizzo dell'accesso tramite numero di telefono.

Attivare l'accesso con numero di telefono per il progetto Firebase

Per consentire agli utenti di accedere tramite SMS, devi prima attivare il metodo di accesso tramite numero di telefono per il tuo progetto Firebase:

  1. Nella console Firebase, apri la sezione Autenticazione.
  2. Nella pagina Metodo di accesso, attiva il metodo di accesso Numero di telefono.

Attivare la verifica dell'app

Per utilizzare l'autenticazione tramite numero di telefono, Firebase deve essere in grado di verificare che le richieste di accesso tramite numero di telefono provengano dalla tua app. Firebase Authentication lo fa in tre modi:

  • API Play Integrity: se un utente ha un dispositivo su cui è installato Google Play services e Firebase Authentication può verificare che il dispositivo sia legittimo con l'API Play Integrity, il login tramite numero di telefono può procedere. L'API Play Integrity è attivata su un progetto di proprietà di Google da Firebase Authentication, non sul tuo progetto. Ciò non contribuisce alle quote dell'API Play Integrity nel tuo progetto. Il supporto di Play Integrity è disponibile con Authentication SDK v21.2.0+ (Firebase BoM v31.4.0+).

    Per utilizzare Play Integrity, se non hai ancora specificato l'impronta SHA-256 della tua app, fallo dalle Impostazioni del progetto della console Firebase. Consulta la sezione Autentificazione del client per informazioni dettagliate su come ottenere l'impronta SHA-256 della tua app.

  • Verifica reCAPTCHA: nel caso in cui non sia possibile utilizzare Play Integrity, ad esempio se un utente ha un dispositivo senza Google Play services installato, Firebase Authentication impiega una verifica reCAPTCHA per completare il flusso di accesso dallo smartphone. Spesso la verifica reCAPTCHA può essere completata senza che l'utente debba risolvere alcun problema. Tieni presente che questo flusso richiede che un hash SHA-1 sia associato alla tua applicazione. Questo flusso richiede inoltre che la tua chiave API sia senza restrizioni o inserita nella lista consentita per PROJECT_ID.firebaseapp.com.

    Alcuni scenari in cui viene attivato reCAPTCHA:

    • Se sul dispositivo dell'utente finale non è installato Google Play services.
    • Se l'app non è distribuita tramite Google Play Store (su Authentication SDK v21.2.0 e versioni successive).
    • Se il token SafetyNet ottenuto non era valido (nelle versioni dell'SDK Authentication precedenti alla 21.2.0).

    Quando per la verifica dell'app viene utilizzato SafetyNet o Play Integrity, il campo %APP_NAME% nel modello di SMS viene compilato con il nome dell'app determinato da Google Play Store. Negli scenari in cui viene attivato reCAPTCHA, %APP_NAME% viene compilato come PROJECT_ID.firebaseapp.com.

Puoi forzare il flusso di verifica reCAPTCHA con forceRecaptchaFlowForTesting Puoi disattivare la verifica dell'app (se utilizzi numeri di telefono fittizi) con setAppVerificationDisabledForTesting.

Risoluzione dei problemi

  • Errore "Stato iniziale mancante" quando si utilizza reCAPTCHA per la verifica dell'app

    Questo può accadere quando il flusso reCAPTCHA viene completato correttamente, ma l'utente non viene reindirizzato all'applicazione nativa. In questo caso, l'utente viene reindirizzato all'URL di riserva PROJECT_ID.firebaseapp.com/__/auth/handler. Nei browser Firefox, l'apertura dei link alle app native è disattivata per impostazione predefinita. Se vedi l'errore riportato sopra su Firefox, segui i passaggi descritti in Impostare Firefox per Android in modo che apra i link nelle app native per attivare l'apertura dei link alle app.

Invia un codice di verifica al telefono dell'utente

Per avviare l'accesso tramite numero di telefono, presenta all'utente un'interfaccia che lo invita a digitare il proprio numero di telefono. I requisiti legali variano, ma come best practice e per creare aspettative negli utenti, devi informarli che se utilizzano l'accesso con il telefono, potrebbero ricevere un messaggio SMS per la verifica e che verranno applicate le tariffe standard.

Quindi, passa il numero di telefono al metodo PhoneAuthProvider.verifyPhoneNumber per richiedere a Firebase di verificare il numero di telefono dell'utente. Ad esempio:

Kotlin

val options = PhoneAuthOptions.newBuilder(auth)
    .setPhoneNumber(phoneNumber) // Phone number to verify
    .setTimeout(60L, TimeUnit.SECONDS) // Timeout and unit
    .setActivity(this) // Activity (for callback binding)
    .setCallbacks(callbacks) // OnVerificationStateChangedCallbacks
    .build()
PhoneAuthProvider.verifyPhoneNumber(options)

Java

PhoneAuthOptions options = 
  PhoneAuthOptions.newBuilder(mAuth) 
      .setPhoneNumber(phoneNumber)       // Phone number to verify
      .setTimeout(60L, TimeUnit.SECONDS) // Timeout and unit
      .setActivity(this)                 // (optional) Activity for callback binding
      // If no activity is passed, reCAPTCHA verification can not be used.
      .setCallbacks(mCallbacks)          // OnVerificationStateChangedCallbacks
      .build();
  PhoneAuthProvider.verifyPhoneNumber(options);     

Il metodo verifyPhoneNumber è ricorsivo: se lo chiami più volte, ad esempio nel metodo onStart di un'attività, il metodo verifyPhoneNumber non invierà un secondo SMS a meno che il tempo di attesa della richiesta originale non sia scaduto.

Puoi utilizzare questo comportamento per riprendere la procedura di accesso tramite numero di telefono se la tua app si chiude prima che l'utente possa accedere (ad esempio, mentre utilizza la sua app di messaggistica). Dopo aver chiamato verifyPhoneNumber, imposta un flag che indique che la verifica è in corso. Poi, salva l'indicatore nel metodo onSaveInstanceState dell'attività e ripristinalo in onRestoreInstanceState. Infine, nel metodo onStart della tua attività, controlla se la verifica è già in corso e, in caso affermativo, chiama di nuovo verifyPhoneNumber. Assicurati di cancellare l'indicatore quando la verifica viene completata o non va a buon fine (vedi Richiami di verifica).

Per gestire facilmente la rotazione dello schermo e altre istanze di riavvio dell'attività, invia l'attività al metodo verifyPhoneNumber. I callback verranno scollegati automaticamente quando l'attività si interrompe, quindi puoi scrivere liberamente il codice di transizione della UI nei metodi di callback.

Il messaggio SMS inviato da Firebase può essere localizzato anche specificando la lingua di autenticazione tramite il metodo setLanguageCode nell'istanza Auth.

Kotlin

auth.setLanguageCode("fr")
// To apply the default app language instead of explicitly setting it.
// auth.useAppLanguage()

Java

auth.setLanguageCode("fr");
// To apply the default app language instead of explicitly setting it.
// auth.useAppLanguage();

Quando chiami PhoneAuthProvider.verifyPhoneNumber, devi anche fornire un'istanza di OnVerificationStateChangedCallbacks, che contiene le implementazioni delle funzioni di callback che gestiscono i risultati della richiesta. Ad esempio:

Kotlin

callbacks = object : PhoneAuthProvider.OnVerificationStateChangedCallbacks() {

    override fun onVerificationCompleted(credential: PhoneAuthCredential) {
        // This callback will be invoked in two situations:
        // 1 - Instant verification. In some cases the phone number can be instantly
        //     verified without needing to send or enter a verification code.
        // 2 - Auto-retrieval. On some devices Google Play services can automatically
        //     detect the incoming verification SMS and perform verification without
        //     user action.
        Log.d(TAG, "onVerificationCompleted:$credential")
        signInWithPhoneAuthCredential(credential)
    }

    override fun onVerificationFailed(e: FirebaseException) {
        // This callback is invoked in an invalid request for verification is made,
        // for instance if the the phone number format is not valid.
        Log.w(TAG, "onVerificationFailed", e)

        if (e is FirebaseAuthInvalidCredentialsException) {
            // Invalid request
        } else if (e is FirebaseTooManyRequestsException) {
            // The SMS quota for the project has been exceeded
        } else if (e is FirebaseAuthMissingActivityForRecaptchaException) {
            // reCAPTCHA verification attempted with null Activity
        }

        // Show a message and update the UI
    }

    override fun onCodeSent(
        verificationId: String,
        token: PhoneAuthProvider.ForceResendingToken,
    ) {
        // The SMS verification code has been sent to the provided phone number, we
        // now need to ask the user to enter the code and then construct a credential
        // by combining the code with a verification ID.
        Log.d(TAG, "onCodeSent:$verificationId")

        // Save verification ID and resending token so we can use them later
        storedVerificationId = verificationId
        resendToken = token
    }
}

Java

mCallbacks = new PhoneAuthProvider.OnVerificationStateChangedCallbacks() {

    @Override
    public void onVerificationCompleted(@NonNull PhoneAuthCredential credential) {
        // This callback will be invoked in two situations:
        // 1 - Instant verification. In some cases the phone number can be instantly
        //     verified without needing to send or enter a verification code.
        // 2 - Auto-retrieval. On some devices Google Play services can automatically
        //     detect the incoming verification SMS and perform verification without
        //     user action.
        Log.d(TAG, "onVerificationCompleted:" + credential);

        signInWithPhoneAuthCredential(credential);
    }

    @Override
    public void onVerificationFailed(@NonNull FirebaseException e) {
        // This callback is invoked in an invalid request for verification is made,
        // for instance if the the phone number format is not valid.
        Log.w(TAG, "onVerificationFailed", e);

        if (e instanceof FirebaseAuthInvalidCredentialsException) {
            // Invalid request
        } else if (e instanceof FirebaseTooManyRequestsException) {
            // The SMS quota for the project has been exceeded
        } else if (e instanceof FirebaseAuthMissingActivityForRecaptchaException) {
            // reCAPTCHA verification attempted with null Activity
        }

        // Show a message and update the UI
    }

    @Override
    public void onCodeSent(@NonNull String verificationId,
                           @NonNull PhoneAuthProvider.ForceResendingToken token) {
        // The SMS verification code has been sent to the provided phone number, we
        // now need to ask the user to enter the code and then construct a credential
        // by combining the code with a verification ID.
        Log.d(TAG, "onCodeSent:" + verificationId);

        // Save verification ID and resending token so we can use them later
        mVerificationId = verificationId;
        mResendToken = token;
    }
};

Richiami di verifica

Nella maggior parte delle app, implementi i callback onVerificationCompleted, onVerificationFailed e onCodeSent. Puoi anche implementare onCodeAutoRetrievalTimeOut, a seconda dei requisiti della tua app.

onVerificationCompleted(PhoneAuthCredential)

Questo metodo viene chiamato in due situazioni:

  • Verifica istantanea: in alcuni casi il numero di telefono può essere verificato immediatamente senza dover inviare o inserire un codice di verifica.
  • Recupero automatico: su alcuni dispositivi, Google Play Services può rilevare automaticamente l'SMS di verifica in arrivo ed eseguire la verifica senza alcuna azione da parte dell'utente. Questa funzionalità potrebbe non essere disponibile con alcuni operatori. Viene utilizzata l'API SMS Retriever, che include un hash di 11 caratteri alla fine del messaggio SMS.
In entrambi i casi, il numero di telefono dell'utente è stato verificato correttamente e puoi utilizzare l'oggetto PhoneAuthCredential passato al callback per far accedere l'utente.

onVerificationFailed(FirebaseException)

Questo metodo viene chiamato in risposta a una richiesta di verifica non valida, ad esempio una richiesta che specifica un numero di telefono o un codice di verifica non valido.

onCodeSent(String verificationId, PhoneAuthProvider.ForceResendingToken)

Facoltativo. Questo metodo viene chiamato dopo che il codice di verifica è stato inviato tramite SMS al numero di telefono fornito.

Quando viene chiamato questo metodo, la maggior parte delle app mostra un'interfaccia utente che chiede all'utente di digitare il codice di verifica del messaggio SMS. Allo stesso tempo, la verifica automatica potrebbe essere in corso in background. Dopo che l'utente ha digitato il codice di verifica, puoi utilizzare il codice di verifica e l'ID verifica trasmessi al metodo per creare un oggetto PhoneAuthCredential, che puoi a tua volta utilizzare per far accedere l'utente. Tuttavia, alcune app potrebbero attendere la chiamata di onCodeAutoRetrievalTimeOut prima di visualizzare l'interfaccia utente del codice di verifica (non consigliato).

onCodeAutoRetrievalTimeOut(String verificationId)

Facoltativo. Questo metodo viene chiamato dopo che è trascorsa la durata del timeout specificata per verifyPhoneNumber senza che sia stato attivato prima onVerificationCompleted. Sui dispositivi senza schede SIM, questo metodo viene chiamato immediatamente perché il recupero automatico degli SMS non è possibile.

Alcune app bloccano l'input dell'utente fino al timeout del periodo di verifica automatica, e solo dopo mostrano un'interfaccia utente che chiede all'utente di digitare il codice di verifica dal messaggio SMS (non consigliato).

Crea un oggetto PhoneAuthCredential

Dopo che l'utente ha inserito il codice di verifica inviato da Firebase al suo telefono, crea un oggetto PhoneAuthCredential utilizzando il codice di verifica e l'ID verifica trasmessi al callback onCodeSent o onCodeAutoRetrievalTimeOut. Quando viene chiamato onVerificationCompleted, ricevi direttamente un oggetto PhoneAuthCredential, quindi puoi saltare questo passaggio.

Per creare l'oggetto PhoneAuthCredential, chiama PhoneAuthProvider.getCredential:

Kotlin

val credential = PhoneAuthProvider.getCredential(verificationId!!, code)

Java

PhoneAuthCredential credential = PhoneAuthProvider.getCredential(verificationId, code);

Consenti l'accesso all'utente

Dopo aver recuperato un oggetto PhoneAuthCredential, nel callback onVerificationCompleted o chiamando PhoneAuthProvider.getCredential, completa il flusso di accesso passando l'oggetto PhoneAuthCredential a FirebaseAuth.signInWithCredential:

Kotlin

private fun signInWithPhoneAuthCredential(credential: PhoneAuthCredential) {
    auth.signInWithCredential(credential)
        .addOnCompleteListener(this) { task ->
            if (task.isSuccessful) {
                // Sign in success, update UI with the signed-in user's information
                Log.d(TAG, "signInWithCredential:success")

                val user = task.result?.user
            } else {
                // Sign in failed, display a message and update the UI
                Log.w(TAG, "signInWithCredential:failure", task.exception)
                if (task.exception is FirebaseAuthInvalidCredentialsException) {
                    // The verification code entered was invalid
                }
                // Update UI
            }
        }
}

Java

private void signInWithPhoneAuthCredential(PhoneAuthCredential credential) {
    mAuth.signInWithCredential(credential)
            .addOnCompleteListener(this, new OnCompleteListener<AuthResult>() {
                @Override
                public void onComplete(@NonNull Task<AuthResult> task) {
                    if (task.isSuccessful()) {
                        // Sign in success, update UI with the signed-in user's information
                        Log.d(TAG, "signInWithCredential:success");

                        FirebaseUser user = task.getResult().getUser();
                        // Update UI
                    } else {
                        // Sign in failed, display a message and update the UI
                        Log.w(TAG, "signInWithCredential:failure", task.getException());
                        if (task.getException() instanceof FirebaseAuthInvalidCredentialsException) {
                            // The verification code entered was invalid
                        }
                    }
                }
            });
}

Eseguire test con numeri di telefono fittizi

Puoi configurare numeri di telefono fittizi per lo sviluppo tramite la console Firebase. I test con numeri di telefono immaginari offrono i seguenti vantaggi:

  • Testa l'autenticazione tramite numero di telefono senza consumare la tua quota di utilizzo.
  • Testa l'autenticazione tramite numero di telefono senza inviare un messaggio SMS effettivo.
  • Esegui test consecutivi con lo stesso numero di telefono senza essere limitato. In questo modo, il rischio di rifiuto durante la procedura di revisione dell'App Store viene ridotto al minimo se il revisore utilizza lo stesso numero di telefono per i test.
  • Eseguire facilmente test in ambienti di sviluppo senza alcuno sforzo aggiuntivo, ad esempio la possibilità di sviluppare in un simulatore iOS o un emulatore Android senza Google Play Services.
  • Scrivere test di integrazione senza essere bloccati da controlli di sicurezza normalmente applicati su numeri di telefono reali in un ambiente di produzione.

I numeri di telefono fittizi devono soddisfare i seguenti requisiti:

  1. Assicurati di utilizzare numeri di telefono che siano effettivamente inventati e non esistano già. Firebase Authentication non ti consente di impostare come numeri di test numeri di telefono esistenti utilizzati da utenti reali. Un'opzione è utilizzare numeri con prefisso 555 come numeri di telefono di prova degli Stati Uniti, ad esempio: +1 650-555-3434
  2. I numeri di telefono devono essere formattati correttamente in termini di lunghezza e altri vincoli. Verranno comunque sottoposti alla stessa convalida del numero di telefono di un utente reale.
  3. Puoi aggiungere fino a 10 numeri di telefono per finalità di sviluppo.
  4. Utilizza numeri di telefono/codici di prova difficili da indovinare e cambiali spesso.

Creare numeri di telefono e codici di verifica fittizi

  1. Nella console Firebase, apri la sezione Autenticazione.
  2. Nella scheda Metodo di accesso, attiva il fornitore di telefonia, se non l'hai ancora fatto.
  3. Apri il menu a scomparsa Numeri di telefono per il test.
  4. Fornisci il numero di telefono che vuoi testare, ad esempio: +1 650-555-3434.
  5. Fornisci il codice di verifica di 6 cifre per quel numero specifico, ad esempio: 654321.
  6. Aggiungi il numero. Se necessario, puoi eliminare il numero di telefono e il relativo codice passando il mouse sopra la riga corrispondente e facendo clic sull'icona del cestino.

Test manuale

Puoi iniziare subito a utilizzare un numero di telefono fittizio nella tua applicazione. In questo modo, puoi eseguire test manuali durante le fasi di sviluppo senza riscontrare problemi di quota o throttling. Puoi anche eseguire il test direttamente da un simulatore iOS o un emulatore Android senza Google Play Services.

Quando fornisci il numero di telefono fittizio e invii il codice di verifica, non viene inviato alcun SMS. Devi invece fornire il codice di verifica configurato in precedenza per completare l'accesso.

Al termine dell'accesso, viene creato un utente Firebase con quel numero di telefono. L'utente ha lo stesso comportamento e le stesse proprietà di un utente con un numero di telefono reale e può accedere allo stesso modo a Realtime Database/Cloud Firestore e ad altri servizi. L'ID token creato durante questa procedura ha la stessa firma di un utente con numero di telefono reale.

Un'altra opzione è impostare un ruolo di test tramite rivendicazioni personalizzate su questi utenti per distinguerli come utenti falsi, se vuoi limitare ulteriormente l'accesso.

Per attivare manualmente il flusso reCAPTCHA per i test, utilizza il metodo forceRecaptchaFlowForTesting().

// Force reCAPTCHA flow
FirebaseAuth.getInstance().getFirebaseAuthSettings().forceRecaptchaFlowForTesting();

Test di integrazione

Oltre ai test manuali, Firebase Authentication fornisce API per scrivere test di integrazione per i test di autenticazione dello smartphone. Queste API disattivano la verifica dell'app disattivando il requisito reCAPTCHA sul web e le notifiche push silenziose su iOS. In questo modo, i test di automazione sono possibili in questi flussi e più facili da implementare. Inoltre, consentono di testare i flussi di verifica istantanea su Android.

Su Android, chiama setAppVerificationDisabledForTesting() prima della chiamata signInWithPhoneNumber. La verifica dell'app viene disattivata automaticamente, consentendoti di passare il numero di telefono senza risolverlo manualmente. Anche se Play Integrity e reCAPTCHA sono disattivati, l'utilizzo di un numero di telefono reale non consentirà di completare l'accesso. Con questa API è possibile utilizzare solo numeri di telefono fittizi.

// Turn off phone auth app verification.
FirebaseAuth.getInstance().getFirebaseAuthSettings()
   .setAppVerificationDisabledForTesting();

La chiamata al numero verifyPhoneNumber con un numero fittizio attiva la chiamata di callbackonCodeSent, in cui dovrai fornire il codice di verifica corrispondente. Ciò consente i test negli emulatori Android.

Java

String phoneNum = "+16505554567";
String testVerificationCode = "123456";

// Whenever verification is triggered with the whitelisted number,
// provided it is not set for auto-retrieval, onCodeSent will be triggered.
FirebaseAuth auth = FirebaseAuth.getInstance();
PhoneAuthOptions options = PhoneAuthOptions.newBuilder(auth)
        .setPhoneNumber(phoneNum)
        .setTimeout(60L, TimeUnit.SECONDS)
        .setActivity(this)
        .setCallbacks(new PhoneAuthProvider.OnVerificationStateChangedCallbacks() {
            @Override
            public void onCodeSent(@NonNull String verificationId,
                                   @NonNull PhoneAuthProvider.ForceResendingToken forceResendingToken) {
                // Save the verification id somewhere
                // ...

                // The corresponding whitelisted code above should be used to complete sign-in.
                MainActivity.this.enableUserManuallyInputCode();
            }

            @Override
            public void onVerificationCompleted(@NonNull PhoneAuthCredential phoneAuthCredential) {
                // Sign in with the credential
                // ...
            }

            @Override
            public void onVerificationFailed(@NonNull FirebaseException e) {
                // ...
            }
        })
        .build();
PhoneAuthProvider.verifyPhoneNumber(options);

Kotlin

val phoneNum = "+16505554567"
val testVerificationCode = "123456"

// Whenever verification is triggered with the whitelisted number,
// provided it is not set for auto-retrieval, onCodeSent will be triggered.
val options = PhoneAuthOptions.newBuilder(Firebase.auth)
    .setPhoneNumber(phoneNum)
    .setTimeout(30L, TimeUnit.SECONDS)
    .setActivity(this)
    .setCallbacks(object : PhoneAuthProvider.OnVerificationStateChangedCallbacks() {

        override fun onCodeSent(
            verificationId: String,
            forceResendingToken: PhoneAuthProvider.ForceResendingToken,
        ) {
            // Save the verification id somewhere
            // ...

            // The corresponding whitelisted code above should be used to complete sign-in.
            this@MainActivity.enableUserManuallyInputCode()
        }

        override fun onVerificationCompleted(phoneAuthCredential: PhoneAuthCredential) {
            // Sign in with the credential
            // ...
        }

        override fun onVerificationFailed(e: FirebaseException) {
            // ...
        }
    })
    .build()
PhoneAuthProvider.verifyPhoneNumber(options)

Inoltre, puoi testare i flussi di recupero automatico in Android impostando il numero fittizio e il relativo codice di verifica per il recupero automatico chiamando setAutoRetrievedSmsCodeForPhoneNumber.

Quando viene chiamato verifyPhoneNumber, attiva onVerificationCompleted con PhoneAuthCredential direttamente. Questo funziona solo con numeri di telefono fittizi.

Assicurati che questa opzione sia disattivata e che non siano presenti numeri di telefono fittizi codificati nella tua app quando pubblichi l'applicazione sul Google Play Store.

Java

// The test phone number and code should be whitelisted in the console.
String phoneNumber = "+16505554567";
String smsCode = "123456";

FirebaseAuth firebaseAuth = FirebaseAuth.getInstance();
FirebaseAuthSettings firebaseAuthSettings = firebaseAuth.getFirebaseAuthSettings();

// Configure faking the auto-retrieval with the whitelisted numbers.
firebaseAuthSettings.setAutoRetrievedSmsCodeForPhoneNumber(phoneNumber, smsCode);

PhoneAuthOptions options = PhoneAuthOptions.newBuilder(firebaseAuth)
        .setPhoneNumber(phoneNumber)
        .setTimeout(60L, TimeUnit.SECONDS)
        .setActivity(this)
        .setCallbacks(new PhoneAuthProvider.OnVerificationStateChangedCallbacks() {
            @Override
            public void onVerificationCompleted(@NonNull PhoneAuthCredential credential) {
                // Instant verification is applied and a credential is directly returned.
                // ...
            }

            // ...
        })
        .build();
PhoneAuthProvider.verifyPhoneNumber(options);

Kotlin

// The test phone number and code should be whitelisted in the console.
val phoneNumber = "+16505554567"
val smsCode = "123456"

val firebaseAuth = Firebase.auth
val firebaseAuthSettings = firebaseAuth.firebaseAuthSettings

// Configure faking the auto-retrieval with the whitelisted numbers.
firebaseAuthSettings.setAutoRetrievedSmsCodeForPhoneNumber(phoneNumber, smsCode)

val options = PhoneAuthOptions.newBuilder(firebaseAuth)
    .setPhoneNumber(phoneNumber)
    .setTimeout(60L, TimeUnit.SECONDS)
    .setActivity(this)
    .setCallbacks(object : PhoneAuthProvider.OnVerificationStateChangedCallbacks() {
        override fun onVerificationCompleted(credential: PhoneAuthCredential) {
            // Instant verification is applied and a credential is directly returned.
            // ...
        }

        // ...
    })
    .build()
PhoneAuthProvider.verifyPhoneNumber(options)

Passaggi successivi

Dopo che un utente ha eseguito l'accesso per la prima volta, viene creato un nuovo account utente e collegato alle credenziali, ovvero nome utente e password, numero di telefono o informazioni del fornitore di autenticazione, con cui l'utente ha eseguito l'accesso. Questo nuovo account viene archiviato nel tuo progetto Firebase e può essere utilizzato per identificare un utente in tutte le app del progetto, indipendentemente da come accede.

  • Nelle tue app, puoi recuperare le informazioni di base del profilo dell'utente dall'oggetto FirebaseUser. Vedi Gestire gli utenti.

  • Nelle Regole di sicurezza Firebase Realtime Database e Cloud Storage, puoi recuperare l'ID utente univoco dell'utente che ha eseguito l'accesso dalla variabile auth e utilizzarlo per controllare a quali dati può accedere un utente.

Puoi consentire agli utenti di accedere alla tua app utilizzando più provider di autenticazione collegando le credenziali del provider di autenticazione a un account utente esistente.

Per scollegare un utente, chiama signOut:

Kotlin

Firebase.auth.signOut()

Java

FirebaseAuth.getInstance().signOut();