Добавьте многофакторную аутентификацию в свое приложение Flutter.

Если вы обновили аутентификацию Firebase с помощью Identity Platform, вы можете добавить многофакторную аутентификацию по SMS в свое приложение Flutter.

Многофакторная аутентификация (MFA) повышает безопасность вашего приложения. Хотя злоумышленники часто компрометируют пароли и учетные записи в социальных сетях, перехватить текстовое сообщение сложнее.

Прежде чем вы начнете

Включите хотя бы одного поставщика, поддерживающего многофакторную аутентификацию. Каждый провайдер поддерживает MFA, за исключением аутентификации по телефону, анонимной аутентификации и Apple Game Center.
Убедитесь, что ваше приложение проверяет электронную почту пользователей. MFA требует подтверждения электронной почты. Это не позволяет злоумышленникам зарегистрироваться в службе с адресом электронной почты, которым они не владеют, а затем заблокировать реального владельца, добавив второй фактор.
Android : если вы еще не установили хэш SHA-256 своего приложения в консоли Firebase , сделайте это. См. раздел «Аутентификация вашего клиента» для получения информации о поиске хеша SHA-256 вашего приложения.
iOS : в Xcode включите push-уведомления для вашего проекта и убедитесь, что ваш ключ аутентификации APN настроен с помощью Firebase Cloud Messaging (FCM) . Кроме того, необходимо включить фоновые режимы для удаленных уведомлений. Подробное объяснение этого шага можно найти в документации Firebase iOS Phone Auth .
Интернет : убедитесь, что вы добавили домен своего приложения на консоли Firebase в разделе Домены перенаправления OAuth .

Включение многофакторной аутентификации

Откройте страницу «Аутентификация» > «Метод входа» в консоли Firebase.
В разделе «Дополнительно» включите многофакторную аутентификацию по SMS .
Вам также следует ввести номера телефонов, с которыми вы будете тестировать свое приложение. Регистрация тестовых телефонных номеров не является обязательной, но настоятельно рекомендуется, чтобы избежать регулирования во время разработки.
Если вы еще не авторизовали домен своего приложения, добавьте его в список разрешений на странице «Аутентификация» > «Настройки» консоли Firebase.

Выбор формы регистрации

Вы можете выбрать, требует ли ваше приложение многофакторную аутентификацию, а также как и когда регистрировать пользователей. Некоторые распространенные шаблоны включают в себя:

Зарегистрируйте второй фактор пользователя в рамках регистрации. Используйте этот метод, если ваше приложение требует многофакторной аутентификации для всех пользователей.
Предложите возможность пропуска для регистрации второго фактора во время регистрации. Приложения, которые хотят поощрять, но не требуют многофакторную аутентификацию, могут предпочесть этот подход.
Предоставьте возможность добавлять второй фактор со страницы управления учетной записью или профилем пользователя вместо экрана регистрации. Это сводит к минимуму трудности в процессе регистрации, одновременно делая многофакторную аутентификацию доступной для пользователей, чувствительных к безопасности.
Требуйте постепенного добавления второго фактора, когда пользователь хочет получить доступ к функциям с повышенными требованиями безопасности.

Регистрация второго фактора

Чтобы зарегистрировать новый вторичный фактор для пользователя:

Повторно авторизуйте пользователя.
Попросите пользователя ввести свой номер телефона.
Примечание. Google хранит и использует номера телефонов для улучшения защиты от спама и злоупотреблений во всех службах Google. Прежде чем отправлять их номера телефонов в Firebase, убедитесь, что вы получили соответствующее согласие от своих пользователей.
Получите многофакторную сессию для пользователя:
```
final multiFactorSession = await user.multiFactor.getSession();
```

Подтвердите номер телефона с помощью многофакторного сеанса и обратных вызовов:

await FirebaseAuth.instance.verifyPhoneNumber(
  multiFactorSession: multiFactorSession,
  phoneNumber: phoneNumber,
  verificationCompleted: (_) {},
  verificationFailed: (_) {},
  codeSent: (String verificationId, int? resendToken) async {
    // The SMS verification code has been sent to the provided phone number.
    // ...
  },
  codeAutoRetrievalTimeout: (_) {},
);

После отправки SMS-кода попросите пользователя подтвердить код:
```
final credential = PhoneAuthProvider.credential(
  verificationId: verificationId,
  smsCode: smsCode,
);
```

Завершите регистрацию:

await user.multiFactor.enroll(
  PhoneMultiFactorGenerator.getAssertion(
    credential,
  ),
);

В приведенном ниже коде показан полный пример регистрации второго фактора:

  final session = await user.multiFactor.getSession();
  final auth = FirebaseAuth.instance;
  await auth.verifyPhoneNumber(
    multiFactorSession: session,
    phoneNumber: phoneController.text,
    verificationCompleted: (_) {},
    verificationFailed: (_) {},
    codeSent: (String verificationId, int? resendToken) async {
      // See `firebase_auth` example app for a method of retrieving user's sms code: 
      // https://github.com/firebase/flutterfire/blob/master/packages/firebase_auth/firebase_auth/example/lib/auth.dart#L591
      final smsCode = await getSmsCodeFromUser(context);

      if (smsCode != null) {
        // Create a PhoneAuthCredential with the code
        final credential = PhoneAuthProvider.credential(
          verificationId: verificationId,
          smsCode: smsCode,
        );

        try {
          await user.multiFactor.enroll(
            PhoneMultiFactorGenerator.getAssertion(
              credential,
            ),
          );
        } on FirebaseAuthException catch (e) {
          print(e.message);
        }
      }
    },
    codeAutoRetrievalTimeout: (_) {},
  );

Поздравляем! Вы успешно зарегистрировали второй фактор аутентификации для пользователя.

Вход пользователей со вторым фактором

Чтобы войти в систему пользователя с двухфакторной SMS-проверкой:

Войдите в систему с помощью первого фактора, а затем перехватите исключение FirebaseAuthMultiFactorException . Эта ошибка содержит преобразователь, который можно использовать для получения зарегистрированных вторых факторов пользователя. Он также содержит базовый сеанс, подтверждающий, что пользователь успешно прошел аутентификацию с помощью своего первого фактора.
Например, если первым фактором пользователя был адрес электронной почты и пароль:
```
try {
  await _auth.signInWithEmailAndPassword(
      email: emailController.text,
      password: passwordController.text,
  );
  // User is not enrolled with a second factor and is successfully
  // signed in.
  // ...
} on FirebaseAuthMultiFactorException catch (e) {
  // The user is a multi-factor user. Second factor challenge is required
  final resolver = e.resolver
  // ...
}
```
Если у пользователя зарегистрировано несколько вторичных факторов, спросите его, какой из них использовать:
```
final session = e.resolver.session;

final hint = e.resolver.hints[selectedHint];
```

Отправьте на телефон пользователя проверочное сообщение с подсказкой и многофакторной сессией:

await FirebaseAuth.instance.verifyPhoneNumber(
  multiFactorSession: session,
  multiFactorInfo: hint,
  verificationCompleted: (_) {},
  verificationFailed: (_) {},
  codeSent: (String verificationId, int? resendToken) async {
    // ...
  },
  codeAutoRetrievalTimeout: (_) {},
);

Вызовите resolver.resolveSignIn() для завершения вторичной аутентификации:

final smsCode = await getSmsCodeFromUser(context);
if (smsCode != null) {
  // Create a PhoneAuthCredential with the code
  final credential = PhoneAuthProvider.credential(
    verificationId: verificationId,
    smsCode: smsCode,
  );

  try {
    await e.resolver.resolveSignIn(
      PhoneMultiFactorGenerator.getAssertion(credential)
    );
  } on FirebaseAuthException catch (e) {
    print(e.message);
  }
}

В приведенном ниже коде показан полный пример входа многофакторного пользователя:

try {
  await _auth.signInWithEmailAndPassword(
    email: emailController.text,
    password: passwordController.text,
  );
} on FirebaseAuthMultiFactorException catch (e) {
  setState(() {
    error = '${e.message}';
  });
  final firstHint = e.resolver.hints.first;
  if (firstHint is! PhoneMultiFactorInfo) {
    return;
  }
  await FirebaseAuth.instance.verifyPhoneNumber(
    multiFactorSession: e.resolver.session,
    multiFactorInfo: firstHint,
    verificationCompleted: (_) {},
    verificationFailed: (_) {},
    codeSent: (String verificationId, int? resendToken) async {
      // See `firebase_auth` example app for a method of retrieving user's sms code: 
      // https://github.com/firebase/flutterfire/blob/master/packages/firebase_auth/firebase_auth/example/lib/auth.dart#L591
      final smsCode = await getSmsCodeFromUser(context);

      if (smsCode != null) {
        // Create a PhoneAuthCredential with the code
        final credential = PhoneAuthProvider.credential(
          verificationId: verificationId,
          smsCode: smsCode,
        );

        try {
          await e.resolver.resolveSignIn(
            PhoneMultiFactorGenerator.getAssertion(
              credential,
            ),
          );
        } on FirebaseAuthException catch (e) {
          print(e.message);
        }
      }
    },
    codeAutoRetrievalTimeout: (_) {},
  );
} catch (e) {
  ...
}

Поздравляем! Вы успешно вошли в систему пользователя, используя многофакторную аутентификацию.

Что дальше

Программно управляйте многофакторными пользователями с помощью Admin SDK.