Google is committed to advancing racial equity for Black communities. See how.
Questa pagina è stata tradotta dall'API Cloud Translation.
Switch to English

Autenticare con Firebase su Android utilizzando un numero di telefono

È possibile utilizzare l'autenticazione Firebase per accedere a un utente inviando un messaggio SMS al telefono dell'utente. L'utente accede utilizzando un codice unico contenuto nel messaggio SMS.

Il modo più semplice per aggiungere l'accesso tramite numero di telefono alla tua app è utilizzare FirebaseUI , che include un widget di accesso drop-in che implementa i flussi di accesso per l'accesso tramite numero di telefono, nonché l'accesso federato e basato su password -nel. Questo documento descrive come implementare un flusso di accesso al numero di telefono utilizzando Firebase SDK.

Prima di iniziare

  1. Se non lo hai già fatto, aggiungi Firebase al tuo progetto Android .
  2. Nel tuo file build.gradle livello di build.gradle , assicurati di includere il repository Maven di Google in entrambe le sezioni buildscript e allprojects .
  3. Aggiungi la dipendenza per la libreria Android di Firebase Authentication al file Gradle del modulo (a livello di app) (di solito app/build.gradle ):
    implementation 'com.google.firebase:firebase-auth:19.3.2'
  4. Se non hai ancora collegato la tua app al tuo progetto Firebase, fallo dalla console Firebase .
  5. Se non hai già impostato l'hash SHA-1 della tua app nella console Firebase , fallo. Consulta Autenticazione del client per informazioni su come trovare l'hash SHA-1 della tua app.

Inoltre, tieni presente che l'accesso al numero di telefono richiede un dispositivo fisico e non funzionerà su un emulatore.

Problemi di sicurezza

L'autenticazione utilizzando solo un numero di telefono, sebbene conveniente, è meno sicura rispetto agli altri metodi disponibili, perché il possesso di un numero di telefono può essere facilmente trasferito tra gli utenti. Inoltre, sui dispositivi con più profili utente, qualsiasi utente in grado di ricevere messaggi SMS può accedere a un account utilizzando il numero di telefono del dispositivo.

Se utilizzi l'accesso basato sul numero di telefono nella tua app, dovresti offrirlo insieme a metodi di accesso più sicuri e informare gli utenti dei compromessi sulla sicurezza dell'utilizzo dell'accesso tramite numero di telefono.

Abilita l'accesso al numero di telefono per il tuo progetto Firebase

Per accedere agli utenti tramite SMS, devi prima abilitare il metodo di accesso al numero di telefono per il tuo progetto Firebase:

  1. Nella console Firebase , apri la sezione Autenticazione .
  2. Nella pagina Metodo di accesso , abilitare il metodo di accesso al numero di telefono .

La quota di richiesta di accesso del numero di telefono di Firebase è sufficientemente alta da non influire sulla maggior parte delle app. Tuttavia, se è necessario accedere a un volume molto elevato di utenti con autenticazione telefonica, potrebbe essere necessario aggiornare il piano tariffario. Vedi la pagina dei prezzi .

Invia un codice di verifica al telefono dell'utente

Per avviare l'accesso tramite numero di telefono, presentare all'utente un'interfaccia che richiede di digitare il proprio numero di telefono. I requisiti legali variano, ma come best practice e per stabilire le aspettative per i tuoi utenti, devi informarli che se utilizzano l'accesso al telefono, potrebbero ricevere un messaggio SMS per la verifica e si applicano le tariffe standard.

Quindi, passa il loro numero di telefono al metodo PhoneAuthProvider.verifyPhoneNumber per richiedere a Firebase di verificare il numero di telefono dell'utente. Per esempio:

Giava

PhoneAuthProvider.getInstance().verifyPhoneNumber(
        phoneNumber,        // Phone number to verify
        60,                 // Timeout duration
        TimeUnit.SECONDS,   // Unit of timeout
        this,               // Activity (for callback binding)
        mCallbacks);        // OnVerificationStateChangedCallbacks

Kotlin + KTX

PhoneAuthProvider.getInstance().verifyPhoneNumber(
        phoneNumber, // Phone number to verify
        60, // Timeout duration
        TimeUnit.SECONDS, // Unit of timeout
        this, // Activity (for callback binding)
        callbacks) // OnVerificationStateChangedCallbacks

Il verifyPhoneNumber metodo è rientrante: se lo si chiama più volte, ad esempio in un'attività di onStart metodo, il verifyPhoneNumber metodo non invierà un secondo SMS a meno che la richiesta originale è scaduta.

Puoi utilizzare questo comportamento per riprendere la procedura di accesso al numero di telefono se l'app si chiude prima che l'utente possa accedere (ad esempio, mentre l'utente sta utilizzando la propria app SMS). Dopo aver chiamato verifyPhoneNumber , imposta un flag che indica che la verifica è in corso. Quindi, salva il flag nel metodo onSaveInstanceState della tua attività e ripristina il flag in onRestoreInstanceState . Infine, nel metodo onStart della tua attività, controlla se la verifica è già in corso e, in tal caso, chiama di nuovo verifyPhoneNumber . Assicurati di cancellare il flag quando la verifica è completa o fallita (vedi Richiami di verifica ).

Per gestire facilmente la rotazione dello schermo e altre istanze di riavvii di attività, passa l'attività al verifyPhoneNumber . I callback verranno automaticamente staccati quando l'attività si interrompe, quindi è possibile scrivere liberamente il codice di transizione dell'interfaccia utente nei metodi di callback.

Il messaggio SMS inviato da Firebase può anche essere localizzato specificando la lingua di autenticazione tramite il metodo setLanguageCode Auth.

Giava

auth.setLanguageCode("fr");
// To apply the default app language instead of explicitly setting it.
// auth.useAppLanguage();

Kotlin + KTX

auth.setLanguageCode("fr")
// To apply the default app language instead of explicitly setting it.
// auth.useAppLanguage()

Quando chiami PhoneAuthProvider.verifyPhoneNumber , devi anche fornire un'istanza di OnVerificationStateChangedCallbacks , che contiene le implementazioni delle funzioni di callback che gestiscono i risultati della richiesta. Per esempio:

Giava

mCallbacks = new PhoneAuthProvider.OnVerificationStateChangedCallbacks() {

    @Override
    public void onVerificationCompleted(PhoneAuthCredential credential) {
        // This callback will be invoked in two situations:
        // 1 - Instant verification. In some cases the phone number can be instantly
        //     verified without needing to send or enter a verification code.
        // 2 - Auto-retrieval. On some devices Google Play services can automatically
        //     detect the incoming verification SMS and perform verification without
        //     user action.
        Log.d(TAG, "onVerificationCompleted:" + credential);

        signInWithPhoneAuthCredential(credential);
    }

    @Override
    public void onVerificationFailed(FirebaseException e) {
        // This callback is invoked in an invalid request for verification is made,
        // for instance if the the phone number format is not valid.
        Log.w(TAG, "onVerificationFailed", e);

        if (e instanceof FirebaseAuthInvalidCredentialsException) {
            // Invalid request
            // ...
        } else if (e instanceof FirebaseTooManyRequestsException) {
            // The SMS quota for the project has been exceeded
            // ...
        }

        // Show a message and update the UI
        // ...
    }

    @Override
    public void onCodeSent(@NonNull String verificationId,
                           @NonNull PhoneAuthProvider.ForceResendingToken token) {
        // The SMS verification code has been sent to the provided phone number, we
        // now need to ask the user to enter the code and then construct a credential
        // by combining the code with a verification ID.
        Log.d(TAG, "onCodeSent:" + verificationId);

        // Save verification ID and resending token so we can use them later
        mVerificationId = verificationId;
        mResendToken = token;

        // ...
    }
};

Kotlin + KTX

callbacks = object : PhoneAuthProvider.OnVerificationStateChangedCallbacks() {

    override fun onVerificationCompleted(credential: PhoneAuthCredential) {
        // This callback will be invoked in two situations:
        // 1 - Instant verification. In some cases the phone number can be instantly
        //     verified without needing to send or enter a verification code.
        // 2 - Auto-retrieval. On some devices Google Play services can automatically
        //     detect the incoming verification SMS and perform verification without
        //     user action.
        Log.d(TAG, "onVerificationCompleted:$credential")

        signInWithPhoneAuthCredential(credential)
    }

    override fun onVerificationFailed(e: FirebaseException) {
        // This callback is invoked in an invalid request for verification is made,
        // for instance if the the phone number format is not valid.
        Log.w(TAG, "onVerificationFailed", e)

        if (e is FirebaseAuthInvalidCredentialsException) {
            // Invalid request
            // ...
        } else if (e is FirebaseTooManyRequestsException) {
            // The SMS quota for the project has been exceeded
            // ...
        }

        // Show a message and update the UI
        // ...
    }

    override fun onCodeSent(
        verificationId: String,
        token: PhoneAuthProvider.ForceResendingToken
    ) {
        // The SMS verification code has been sent to the provided phone number, we
        // now need to ask the user to enter the code and then construct a credential
        // by combining the code with a verification ID.
        Log.d(TAG, "onCodeSent:$verificationId")

        // Save verification ID and resending token so we can use them later
        storedVerificationId = verificationId
        resendToken = token

        // ...
    }
}

Callback di verifica

Nella maggior parte delle app, si implementano i onVerificationCompleted , onVerificationFailed e onCodeSent . Potresti anche implementare onCodeAutoRetrievalTimeOut , a seconda dei requisiti della tua app.

onVerificationCompleted (PhoneAuthCredential)

Questo metodo viene chiamato in due situazioni:

  • Verifica immediata: in alcuni casi il numero di telefono può essere verificato immediatamente senza la necessità di inviare o inserire un codice di verifica.
  • Recupero automatico: su alcuni dispositivi, i servizi di Google Play possono rilevare automaticamente l'SMS di verifica in arrivo ed eseguire la verifica senza l'intervento dell'utente. (Questa funzionalità potrebbe non essere disponibile con alcuni gestori.)
In entrambi i casi, il numero di telefono dell'utente è stato verificato correttamente ed è possibile utilizzare l'oggetto PhoneAuthCredential passato alla richiamata per accedere all'utente .

onVerificationFailed (FirebaseException)

Questo metodo viene chiamato in risposta a una richiesta di verifica non valida, ad esempio una richiesta che specifica un numero di telefono o un codice di verifica non validi.

onCodeSent (StringificationId, PhoneAuthProvider.ForceResendingToken)

Opzionale. Questo metodo viene chiamato dopo che il codice di verifica è stato inviato via SMS al numero di telefono fornito.

Quando viene chiamato questo metodo, la maggior parte delle app visualizza un'interfaccia utente che richiede all'utente di digitare il codice di verifica dal messaggio SMS. (Allo stesso tempo, la verifica automatica potrebbe procedere in background.) Quindi, dopo che l'utente digita il codice di verifica, è possibile utilizzare il codice di verifica e l'ID di verifica che è stato passato al metodo per creare un oggetto PhoneAuthCredential , che puoi a tua volta utilizzare per accedere l'utente. Tuttavia, alcune app potrebbero attendere fino onCodeAutoRetrievalTimeOut chiamata di onCodeAutoRetrievalTimeOut prima di visualizzare l'interfaccia utente del codice di verifica (non consigliato).

onCodeAutoRetrievalTimeOut (StringificationId)

Opzionale. Questo metodo viene chiamato dopo che la durata del timeout specificata per verifyPhoneNumber è trascorsa senza che onVerificationCompleted prima attivato onVerificationCompleted . Sui dispositivi senza schede SIM, questo metodo viene chiamato immediatamente perché il recupero automatico degli SMS non è possibile.

Alcune app bloccano l'input dell'utente fino allo scadere del periodo di verifica automatica e solo dopo visualizzano un'interfaccia utente che richiede all'utente di digitare il codice di verifica dal messaggio SMS (non consigliato).

Crea un oggetto PhoneAuthCredential

Dopo che l'utente ha inserito il codice di verifica inviato da Firebase al telefono dell'utente, crea un oggetto PhoneAuthCredential , utilizzando il codice di verifica e l'ID di verifica che è stato passato al callback onCodeSent o onCodeAutoRetrievalTimeOut . (Quando viene chiamato onVerificationCompleted , ottieni direttamente un oggetto PhoneAuthCredential , quindi puoi saltare questo passaggio.)

Per creare l'oggetto PhoneAuthCredential , chiama PhoneAuthProvider.getCredential :

Giava

PhoneAuthCredential credential = PhoneAuthProvider.getCredential(verificationId, code);

Kotlin + KTX

val credential = PhoneAuthProvider.getCredential(verificationId!!, code)

Accedi l'utente

Dopo aver ottenuto un oggetto PhoneAuthCredential , nel callback onVerificationCompleted o chiamando PhoneAuthProvider.getCredential , completare il flusso di accesso passando l'oggetto PhoneAuthCredential a FirebaseAuth.signInWithCredential :

Giava

private void signInWithPhoneAuthCredential(PhoneAuthCredential credential) {
    mAuth.signInWithCredential(credential)
            .addOnCompleteListener(this, new OnCompleteListener<AuthResult>() {
                @Override
                public void onComplete(@NonNull Task<AuthResult> task) {
                    if (task.isSuccessful()) {
                        // Sign in success, update UI with the signed-in user's information
                        Log.d(TAG, "signInWithCredential:success");

                        FirebaseUser user = task.getResult().getUser();
                        // ...
                    } else {
                        // Sign in failed, display a message and update the UI
                        Log.w(TAG, "signInWithCredential:failure", task.getException());
                        if (task.getException() instanceof FirebaseAuthInvalidCredentialsException) {
                            // The verification code entered was invalid
                        }
                    }
                }
            });
}

Kotlin + KTX

private fun signInWithPhoneAuthCredential(credential: PhoneAuthCredential) {
    auth.signInWithCredential(credential)
            .addOnCompleteListener(this) { task ->
                if (task.isSuccessful) {
                    // Sign in success, update UI with the signed-in user's information
                    Log.d(TAG, "signInWithCredential:success")

                    val user = task.result?.user
                    // ...
                } else {
                    // Sign in failed, display a message and update the UI
                    Log.w(TAG, "signInWithCredential:failure", task.exception)
                    if (task.exception is FirebaseAuthInvalidCredentialsException) {
                        // The verification code entered was invalid
                    }
                }
            }
}

Prova con i numeri di telefono autorizzati

Puoi inserire nella whitelist i numeri di telefono per lo sviluppo tramite la console Firebase. L'autorizzazione dei numeri di telefono offre questi vantaggi:

  • Prova l'autenticazione del numero di telefono senza consumare la tua quota di utilizzo.
  • Verifica l'autenticazione del numero di telefono senza inviare un messaggio SMS effettivo.
  • Esegui test consecutivi con lo stesso numero di telefono senza subire limitazioni. Ciò riduce al minimo il rischio di rifiuto durante il processo di revisione dell'App Store se il revisore utilizza lo stesso numero di telefono per il test.
  • Prova prontamente in ambienti di sviluppo senza alcuno sforzo aggiuntivo, come la possibilità di sviluppare in un simulatore iOS o un emulatore Android senza Google Play Services.
  • Scrivi test di integrazione senza essere bloccato da controlli di sicurezza normalmente applicati a numeri di telefono reali in un ambiente di produzione.

I numeri di telefono della whitelist devono soddisfare questi requisiti:

  1. Assicurati di utilizzare numeri fittizi che non esistono già. L'autenticazione Firebase non consente di autorizzare i numeri di telefono esistenti utilizzati da utenti reali. Un'opzione è utilizzare i numeri con prefisso 555 come numeri di telefono di prova negli Stati Uniti, ad esempio: +1 650-555-3434
  2. I numeri di telefono devono essere formattati correttamente per la lunghezza e altri vincoli. Eseguiranno comunque la stessa convalida del numero di telefono di un utente reale.
  3. È possibile aggiungere fino a 10 numeri di telefono per lo sviluppo.
  4. Utilizzare numeri di telefono / codici di prova difficili da indovinare e modificarli di frequente.

Lista bianca numeri di telefono e codici di verifica

  1. Nella console Firebase , apri la sezione Autenticazione .
  2. Nella scheda Metodo di accesso , abilitare il provider telefonico se non lo si è già fatto.
  3. Apri i numeri di telefono per provare il menu a fisarmonica.
  4. Fornisci il numero di telefono che desideri testare, ad esempio: +1 650-555-3434 .
  5. Fornire il codice di verifica a 6 cifre per quel numero specifico, ad esempio: 654321 .
  6. Aggiungi il numero Se è necessario, è possibile eliminare il numero di telefono e il relativo codice passando con il mouse sulla riga corrispondente e facendo clic sull'icona del cestino.

Test manuale

Puoi iniziare a utilizzare direttamente un numero di telefono autorizzato nella tua applicazione. Ciò consente di eseguire test manuali durante le fasi di sviluppo senza incorrere in problemi di quota o limitazione. Puoi anche testare direttamente da un simulatore iOS o un emulatore Android senza Google Play Services installato.

Quando fornisci il numero di telefono autorizzato e invii il codice di verifica, non viene inviato alcun SMS effettivo. È invece necessario fornire il codice di verifica precedentemente configurato per completare l'accesso.

Al completamento dell'accesso, viene creato un utente Firebase con quel numero di telefono. L'utente ha lo stesso comportamento e le stesse proprietà di un utente con numero di telefono reale e può accedere a Realtime Database / Cloud Firestore e ad altri servizi nello stesso modo. Il token ID emesso durante questo processo ha la stessa firma di un utente di numero di telefono reale.

Un'altra opzione è impostare un ruolo di test tramite attestazioni personalizzate su questi utenti per differenziarli come utenti falsi se si desidera limitare ulteriormente l'accesso.

Test d'integrazione

Oltre ai test manuali, Firebase Authentication fornisce API per aiutare a scrivere test di integrazione per i test di autenticazione del telefono. Queste API disabilitano la verifica delle app disabilitando il requisito reCAPTCHA nelle notifiche push web e silenziose in iOS. Ciò rende i test di automazione possibili in questi flussi e più facili da implementare. Inoltre, aiutano a fornire la possibilità di testare i flussi di verifica immediata su Android.

Su Android puoi usare prontamente i tuoi numeri di telefono autorizzati senza ulteriori chiamate API. La chiamata a verifyPhoneNumber con un numero onCodeSent nella whitelist attiva la richiamata onCodeSent , in cui dovrai fornire il codice di verifica corrispondente. Ciò consente il test negli emulatori Android.

Giava

String phoneNum = "+16505554567";
String testVerificationCode = "123456";

// Whenever verification is triggered with the whitelisted number,
// provided it is not set for auto-retrieval, onCodeSent will be triggered.
PhoneAuthProvider.getInstance().verifyPhoneNumber(
        phoneNum, 30L /*timeout*/, TimeUnit.SECONDS,
        this, new PhoneAuthProvider.OnVerificationStateChangedCallbacks() {

            @Override
            public void onCodeSent(String verificationId,
                                   PhoneAuthProvider.ForceResendingToken forceResendingToken) {
                // Save the verification id somewhere
                // ...

                // The corresponding whitelisted code above should be used to complete sign-in.
                MainActivity.this.enableUserManuallyInputCode();
            }

            @Override
            public void onVerificationCompleted(PhoneAuthCredential phoneAuthCredential) {
                // Sign in with the credential
                // ...
            }

            @Override
            public void onVerificationFailed(FirebaseException e) {
                 // ...
            }

        });

Kotlin + KTX

val phoneNum = "+16505554567"
val testVerificationCode = "123456"

// Whenever verification is triggered with the whitelisted number,
// provided it is not set for auto-retrieval, onCodeSent will be triggered.
PhoneAuthProvider.getInstance().verifyPhoneNumber(
        phoneNum, 30L /*timeout*/, TimeUnit.SECONDS,
        this, object : PhoneAuthProvider.OnVerificationStateChangedCallbacks() {

    override fun onCodeSent(
        verificationId: String,
        forceResendingToken: PhoneAuthProvider.ForceResendingToken
    ) {
        // Save the verification id somewhere
        // ...

        // The corresponding whitelisted code above should be used to complete sign-in.
        this@MainActivity.enableUserManuallyInputCode()
    }

    override fun onVerificationCompleted(phoneAuthCredential: PhoneAuthCredential) {
        // Sign in with the credential
        // ...
    }

    override fun onVerificationFailed(e: FirebaseException) {
        // ...
    }
})

Inoltre, puoi testare i flussi di recupero automatico in Android impostando il numero della whitelist e il corrispondente codice di verifica per il recupero automatico chiamando setAutoRetrievedSmsCodeForPhoneNumber .

Quando viene chiamato verifyPhoneNumber , si attiva direttamente onVerificationCompleted con PhoneAuthCredential . Funziona solo con i numeri di telefono autorizzati.

Assicurati che sia disabilitato e che nessun numero di telefono autorizzato sia codificato nella tua app quando pubblichi la tua applicazione nel Google Play Store.

Giava

// The test phone number and code should be whitelisted in the console.
String phoneNumber = "+16505554567";
String smsCode = "123456";

FirebaseAuth firebaseAuth = FirebaseAuth.getInstance();
FirebaseAuthSettings firebaseAuthSettings = firebaseAuth.getFirebaseAuthSettings();

// Configure faking the auto-retrieval with the whitelisted numbers.
firebaseAuthSettings.setAutoRetrievedSmsCodeForPhoneNumber(phoneNumber, smsCode);

PhoneAuthProvider phoneAuthProvider = PhoneAuthProvider.getInstance();
phoneAuthProvider.verifyPhoneNumber(
        phoneNumber,
        60L,
        TimeUnit.SECONDS,
        this, /* activity */
        new PhoneAuthProvider.OnVerificationStateChangedCallbacks() {
            @Override
            public void onVerificationCompleted(PhoneAuthCredential credential) {
                // Instant verification is applied and a credential is directly returned.
                // ...
            }

            // ...
        });

Kotlin + KTX

// The test phone number and code should be whitelisted in the console.
val phoneNumber = "+16505554567"
val smsCode = "123456"

val firebaseAuth = Firebase.auth
val firebaseAuthSettings = firebaseAuth.firebaseAuthSettings

// Configure faking the auto-retrieval with the whitelisted numbers.
firebaseAuthSettings.setAutoRetrievedSmsCodeForPhoneNumber(phoneNumber, smsCode)

val phoneAuthProvider = PhoneAuthProvider.getInstance()
phoneAuthProvider.verifyPhoneNumber(
        phoneNumber,
        60L,
        TimeUnit.SECONDS,
        this, /* activity */
        object : PhoneAuthProvider.OnVerificationStateChangedCallbacks() {
            override fun onVerificationCompleted(credential: PhoneAuthCredential) {
                // Instant verification is applied and a credential is directly returned.
                // ...
            }

            // ...
        })

Prossimi passi

Dopo che un utente ha effettuato l'accesso per la prima volta, viene creato un nuovo account utente e collegato alle credenziali, ovvero nome utente e password, numero di telefono o informazioni del provider di autenticazione, con cui l'utente ha effettuato l'accesso. Questo nuovo account viene archiviato come parte del progetto Firebase e può essere utilizzato per identificare un utente in ogni app del progetto, indipendentemente da come l'utente effettua l'accesso.

  • Nelle tue app puoi ottenere le informazioni di base sul profilo dell'utente dall'oggetto FirebaseUser . Vedi Gestisci utenti .

  • Nelle regole di sicurezza di Firebase Realtime Database e Cloud Storage, puoi ottenere l'ID utente univoco dell'utente connesso dalla variabile auth e utilizzarlo per controllare i dati a cui un utente può accedere.

Puoi consentire agli utenti di accedere alla tua app utilizzando più provider di autenticazione collegando le credenziali del provider di autenticazione a un account utente esistente.

Per disconnettere un utente, chiama signOut :

Giava

FirebaseAuth.getInstance().signOut();

Kotlin + KTX

Firebase.auth.signOut()