Autentica con Firebase mediante un número de teléfono y C++

Puedes usar Firebase Authentication para enviar un mensaje SMS al teléfono de un usuario para que este acceda. El usuario accede con un código único que se incluye en el mensaje SMS.

En este documento, se describe cómo implementar un flujo de acceso con el número de teléfono mediante el uso del SDK de Firebase.

Antes de comenzar

  1. Agrega Firebase a tu proyecto de C++.
  2. Si aún no has conectado la app al proyecto de Firebase, puedes hacerlo desde Firebase console
  3. Comprende los requisitos de la plataforma para el acceso con número de teléfono:
    • El acceso con número de teléfono solo está disponible en plataformas móviles.
    • En iOS, ten en cuenta que el acceso con número de teléfono requiere un dispositivo físico; este proceso no funciona en un simulador.

Preocupaciones de seguridad

Si bien la autenticación con solo un número de teléfono es conveniente, es menos segura que otros métodos disponibles, ya que la posesión de un número de teléfono se puede transferir con facilidad entre usuarios. Además, en los dispositivos con varios perfiles de usuario, cualquier usuario que reciba mensajes SMS puede acceder a una cuenta con el número de teléfono del dispositivo.

Si usas el acceso con número de teléfono en la app, deberías ofrecerlo junto con métodos de acceso más seguros, además de informar a los usuarios acerca de las desventajas de usar el acceso con número de teléfono.

Habilita el acceso con número de teléfono para el proyecto de Firebase

Para que los usuarios accedan a través de SMS, primero debes habilitar el método de acceso con el número de teléfono para el proyecto de Firebase:

  1. En Firebase console, abre la sección Authentication.
  2. En la página Método de acceso, habilita el método de acceso Número de teléfono.

Comienza a recibir notificaciones de APNS (plataformas de Apple)

Para usar la autenticación con número de teléfono en plataformas de Apple, la app debe poder recibir notificaciones de APNS desde Firebase. Cuando un usuario accede con su número de teléfono por primera vez en un dispositivo, Firebase Authentication envía una notificación push silenciosa al dispositivo para verificar que la solicitud de acceso con el número de teléfono viene de tu app (por este motivo, el acceso con el número de teléfono no se puede usar en un simulador).

Para habilitar las notificaciones de APN y usarlas con Firebase Authentication, haz lo siguiente:

  1. En Xcode, habilita las notificaciones push para el proyecto.
  2. Sube el certificado APNS a Firebase. Si aún no tienes uno, asegúrate de crearlo en el Centro de miembros desarrolladores de Apple.

    1. Dentro del proyecto en Firebase console, selecciona el ícono de ajustes, elige Configuración del proyecto y, luego, la pestaña Cloud Messaging.

    2. Selecciona el botón Subir certificado para el certificado de desarrollo, el certificado de producción o ambos. Se requiere al menos uno.

    3. Para cada certificado, selecciona el archivo .p12 y proporciona la contraseña, si tuviera una. Asegúrate de que el ID del paquete de este certificado coincida con el ID del paquete de tu app. Selecciona Guardar.

Envía un código de verificación al teléfono del usuario

Para iniciar el acceso con el número de teléfono, muéstrale al usuario una interfaz que le pida ingresar su número de teléfono y, luego, llama a PhoneAuthProvider::VerifyPhoneNumber para solicitar a Firebase que envíe un código de autenticación al teléfono del usuario mediante SMS:

  1. Obtén el número de teléfono del usuario.

    Los requisitos legales varían, pero es recomendable establecer las expectativas de los usuarios informándoles que, si usan el acceso con el teléfono, es posible que reciban un mensaje SMS para la verificación y que se apliquen las tarifas estándar.

  2. Llama a PhoneAuthProvider::VerifyPhoneNumber y pásale el número de teléfono del usuario.
    class PhoneListener : public PhoneAuthProvider::Listener {
     public:
      ~PhoneListener() override {}
    
      void OnVerificationCompleted(PhoneAuthCredential credential) override {
        // Auto-sms-retrieval or instant validation has succeeded (Android only).
        // No need for the user to input the verification code manually.
        // `credential` can be used instead of calling GetCredential().
      }
    
      void OnVerificationFailed(const std::string& error) override {
        // Verification code not sent.
      }
    
      void OnCodeSent(const std::string& verification_id,
                      const PhoneAuthProvider::ForceResendingToken&
                          force_resending_token) override {
        // Verification code successfully sent via SMS.
        // Show the Screen to enter the Code.
        // Developer may want to save that verification_id along with other app states in case
        // the app is terminated before the user gets the SMS verification code.
      }
    };
    
    PhoneListener phone_listener;
    PhoneAuhtOptions options;
    options.timeout_milliseconds = kAutoVerifyTimeOut;
    options.phone_number = phone_number;
    PhoneAuthProvider& phone_provider = PhoneAuthProvider::GetInstance(auth);
    phone_provider->VerifyPhoneNumber(options, &phone_listener);
    Cuando llamas a PhoneAuthProvider::VerifyPhoneNumber, Firebase hace lo siguiente:
    • En iOS, envía una notificación push silenciosa a tu app.
    • Envía un mensaje de SMS con un código de autenticación al número telefónico especificado y pasa un ID de verificación a la función de finalización. Para que el usuario acceda, se necesitan tanto el código como el ID de verificación.
  3. Guarda el ID de verificación y restablécelo cuando se cargue la app. Así, te aseguras de tener un ID de verificación válido incluso si la app se cierra antes de que el usuario complete el flujo de acceso (por ejemplo, cuando cambia a la app de SMS).

    Puedes conservar el ID de verificación de la manera que desees. Si escribes con un marco de trabajo de C++ entre plataformas, debe proporcionar notificaciones para la finalización y el restablecimiento de la app. En estos eventos, puedes guardar y restablecer el ID de verificación respectivamente.

Si la llamada a VerifyPhoneNumber hace que el objeto de escucha llame a OnCodeSent, puedes pedirle al usuario que ingrese el código de verificación cuando lo reciba en el mensaje SMS.

Por otro lado, si la llamada a VerifyPhoneNumber da como resultado OnVerificationCompleted, significa que la verificación automática se realizó correctamente y ahora tendrás un PhoneAuthCredential con el que puedes usarlo como se describe a continuación.

Permite el acceso del usuario con el código de verificación

Después de que el usuario ingrese en tu app el código de verificación que recibió en el mensaje SMS, haz que acceda. Para ello, crea un objeto PhoneAuthCredential a partir del código y el ID de verificación, y pásalo a Auth::SignInWithCredential.

  1. Obtén el código de verificación del usuario.
  2. Crea un objeto Credential a partir del código y el ID de verificación.
    PhoneAuthCredential credential = phone_auth_provider->GetCredential(
        verification_id_.c_str(), verification_code.c_str());
        
  3. Haz que el usuario acceda con el objeto Credential de la siguiente manera:
    Future<User> future = auth_->SignInWithCredential(credential);
    future.OnCompletion(
        [](const Future<User*>& result, void*) {
          if (result.error() == kAuthErrorNone) {
            // Successful.
            // User is signed in.
            User user = *result.result();
    
            // This should display the phone number.
            printf("Phone number: %s", user.phone_number().c_str());
    
            // The phone number provider UID is the phone number itself.
            printf("Phone provider uid: %s", user.uid().c_str());
    
            // The phone number providerID is 'phone'
            printf("Phone provider ID: %s", user.provider_id().c_str());
          } else {
            // Error.
            printf("Sign in error: %s", result.error_message().c_str());
          }
        },
        nullptr);

Próximos pasos

Cuando un usuario accede por primera vez, se crea una cuenta de usuario nueva y se la vincula con las credenciales (el nombre de usuario y la contraseña, el número de teléfono o la información del proveedor de autenticación) que el usuario utilizó para acceder. Esta cuenta nueva se almacena como parte de tu proyecto de Firebase y se puede usar para identificar a un usuario en todas las apps del proyecto, sin importar cómo acceda.

  • En tus apps, puedes obtener la información básica de perfil del usuario a partir del objeto firebase::auth::User.

    firebase::auth::User user = auth->current_user();
    if (user.is_valid()) {
      std::string name = user.display_name();
      std::string email = user.email();
      std::string photo_url = user.photo_url();
      // The user's ID, unique to the Firebase project.
      // Do NOT use this value to authenticate with your backend server,
      // if you have one. Use firebase::auth::User::Token() instead.
      std::string uid = user.uid();
    }
  • En tus Reglas de seguridad de Firebase Realtime Database y Cloud Storage, puedes obtener el ID del usuario único que accedió a partir de la variable auth y usarlo para controlar a qué datos podrá acceder.

Para permitir que los usuarios accedan a tu app mediante varios proveedores de autenticación, puedes vincular las credenciales de estos proveedores con una cuenta de usuario existente.

Para salir de la sesión de un usuario, llama a SignOut() de la siguiente manera:

auth->SignOut();