أضف مصادقة متعددة العوامل إلى تطبيق iOS الخاص بك

إذا قمت بالترقية إلى Firebase Authentication باستخدام Identity Platform ، فيمكنك إضافة مصادقة متعددة العوامل عبر الرسائل القصيرة إلى تطبيق iOS الخاص بك.

تعمل المصادقة متعددة العوامل على زيادة أمان تطبيقك. بينما يخترق المهاجمون غالبًا كلمات المرور والحسابات الاجتماعية ، فإن اعتراض رسالة نصية يكون أكثر صعوبة.

قبل ان تبدأ

  1. قم بتمكين موفر واحد على الأقل يدعم المصادقة متعددة العوامل. يدعم كل مزود MFA ، باستثناء مصادقة الهاتف والمصادقة المجهولة ومركز ألعاب Apple.

  2. تأكد من أن تطبيقك يتحقق من رسائل البريد الإلكتروني للمستخدم. يتطلب MFA التحقق من البريد الإلكتروني. يمنع هذا الجهات الخبيثة من التسجيل في خدمة باستخدام بريد إلكتروني لا يملكونه ، ثم حظر المالك الحقيقي عن طريق إضافة عامل ثانٍ.

تمكين المصادقة متعددة العوامل

  1. افتح صفحة المصادقة> طريقة تسجيل الدخول بوحدة تحكم Firebase.

  2. في القسم المتقدم ، قم بتمكين المصادقة متعددة العوامل عبر الرسائل القصيرة .

    يجب عليك أيضًا إدخال أرقام الهواتف التي ستختبر بها تطبيقك. على الرغم من أنه اختياري ، يوصى بشدة بتسجيل أرقام هواتف الاختبار لتجنب الاختناق أثناء التطوير.

  3. إذا لم تكن قد سمحت لمجال تطبيقك بالفعل ، فأضفه إلى قائمة السماح في صفحة المصادقة> الإعدادات في وحدة تحكم Firebase.

التحقق من التطبيق الخاص بك

يحتاج Firebase إلى التحقق من أن طلبات الرسائل القصيرة SMS تأتي من تطبيقك. يمكنك القيام بذلك بطريقتين:

  • إشعارات APN الصامتة : عند تسجيل دخول مستخدم لأول مرة ، يمكن لـ Firebase إرسال إشعار دفع صامت إلى جهاز المستخدم. يمكن أن تستمر المصادقة إذا تلقى التطبيق الإشعار. لاحظ أنه بدءًا من الإصدار iOS 8.0 ، لن تحتاج إلى مطالبة المستخدم بالسماح بإشعارات الدفع باستخدام هذه الطريقة.

  • التحقق من reCAPTCHA : إذا لم تتمكن من إرسال إشعار صامت (على سبيل المثال ، لأن المستخدم قام بتعطيل تحديث الخلفية ، أو أنك تختبر تطبيقك في محاكي iOS) ، فيمكنك استخدام reCAPTCHA. في كثير من الحالات ، تحل reCAPTCHA نفسها تلقائيًا دون تدخل المستخدم.

استخدام الإخطارات الصامتة

لتمكين إعلامات APN للاستخدام مع Firebase:

  1. في Xcode ، قم بتمكين دفع الإخطارات لمشروعك.

  2. قم بتحميل مفتاح مصادقة APNs باستخدام Firebase Console (سيتم نقل التغييرات تلقائيًا إلى Google Cloud Firebase). إذا لم يكن لديك بالفعل مفتاح مصادقة APNs ، فراجع تكوين APNs باستخدام FCM لمعرفة كيفية الحصول عليه.

    1. افتح وحدة تحكم Firebase .

    2. انتقل إلى إعدادات المشروع .

    3. حدد علامة التبويب Cloud Messaging .

    4. ضمن مفتاح مصادقة APNs ، في قسم تكوين تطبيق iOS ، انقر فوق تحميل .

    5. اختر مفتاحك.

    6. أضف معرف المفتاح للمفتاح. يمكنك العثور على معرف المفتاح ضمن الشهادات والمعرفات والملفات الشخصية في مركز أعضاء مطوري Apple .

    7. انقر فوق تحميل .

إذا كان لديك بالفعل شهادة APNs ، فيمكنك تحميل الشهادة بدلاً من ذلك.

باستخدام التحقق reCAPTCHA

لتمكين العميل SDK من استخدام reCAPTCHA:

  1. افتح تكوين مشروعك في Xcode.

  2. انقر نقرًا مزدوجًا فوق اسم المشروع في عرض الشجرة الأيسر.

  3. حدد التطبيق الخاص بك من قسم الأهداف .

  4. حدد علامة التبويب المعلومات .

  5. قم بتوسيع قسم أنواع URL .

  6. انقر فوق الزر + .

  7. أدخل معرف العميل المعكوس في حقل مخططات عناوين URL . يمكنك العثور على هذه القيمة مدرجة في ملف تكوين GoogleService-Info.plist كـ REVERSED_CLIENT_ID .

عند الانتهاء ، يجب أن تبدو التكوين الخاص بك مشابهًا لما يلي:

المخططات المخصصة

اختياريًا ، يمكنك تخصيص الطريقة التي يعرض بها تطبيقك SFSafariViewController أو UIWebView عند عرض reCAPTCHA. للقيام بذلك ، قم بإنشاء فئة مخصصة تتوافق مع بروتوكول FIRAuthUIDelegate ، وقم بتمريرها للتحقق من verifyPhoneNumber:UIDelegate:completion:

اختيار نمط التسجيل

يمكنك اختيار ما إذا كان تطبيقك يتطلب مصادقة متعددة العوامل ، وكيف ومتى يتم تسجيل المستخدمين لديك. تتضمن بعض الأنماط الشائعة ما يلي:

  • سجل العامل الثاني للمستخدم كجزء من التسجيل. استخدم هذه الطريقة إذا كان تطبيقك يتطلب مصادقة متعددة العوامل لجميع المستخدمين. لاحظ أنه يجب أن يحتوي الحساب على عنوان بريد إلكتروني تم التحقق منه لتسجيل عامل ثانٍ ، لذلك يجب أن يستوعب تدفق التسجيل هذا الأمر.

  • قدم خيارًا قابلًا للتخطي لتسجيل عامل ثانٍ أثناء التسجيل. قد تفضل التطبيقات التي ترغب في تشجيع المصادقة متعددة العوامل ، ولكن لا تتطلبها ، هذا الأسلوب.

  • توفير القدرة على إضافة عامل ثانٍ من حساب المستخدم أو صفحة إدارة الملف الشخصي ، بدلاً من شاشة التسجيل. هذا يقلل الاحتكاك أثناء عملية التسجيل ، مع الاستمرار في إتاحة المصادقة متعددة العوامل للمستخدمين الحساسين للأمان.

  • طلب إضافة عامل ثانٍ بشكل متزايد عندما يريد المستخدم الوصول إلى ميزات ذات متطلبات أمان متزايدة.

تسجيل عامل ثان

لتسجيل عامل ثانوي جديد للمستخدم:

  1. أعد مصادقة المستخدم.

  2. اطلب من المستخدم إدخال رقم هاتفه.

  3. احصل على جلسة متعددة العوامل للمستخدم:

    سويفت

    authResult.user.multiFactor.getSessionWithCompletion() { (session, error) in
      // ...
    }
    

    ج موضوعية

    [authResult.user.multiFactor
      getSessionWithCompletion:^(FIRMultiFactorSession * _Nullable session,
                                NSError * _Nullable error) {
        // ...
    }];
    
  4. أرسل رسالة تحقق إلى هاتف المستخدم. تأكد من تنسيق رقم الهاتف بعلامة + بادئة وبدون علامات ترقيم أو مسافة بيضاء أخرى (على سبيل المثال: +15105551234 )

    سويفت

    // Send SMS verification code.
    PhoneAuthProvider.provider().verifyPhoneNumber(
      phoneNumber,
      uiDelegate: nil,
      multiFactorSession: session) { (verificationId, error) in
        // verificationId will be needed for enrollment completion.
    }
    

    ج موضوعية

    // Send SMS verification code.
    [FIRPhoneAuthProvider.provider verifyPhoneNumber:phoneNumber
                                          UIDelegate:nil
                                  multiFactorSession:session
                                          completion:^(NSString * _Nullable verificationID,
                                                        NSError * _Nullable error) {
        // verificationId will be needed for enrollment completion.
    }];
    

    على الرغم من أن هذا ليس مطلوبًا ، إلا أنه من أفضل الممارسات إبلاغ المستخدمين مسبقًا بأنهم سيتلقون رسالة نصية قصيرة ، وأن الأسعار القياسية تنطبق.

    تبدأ طريقة verifyPhoneNumber() في عملية التحقق من التطبيق في الخلفية باستخدام إشعار الدفع الصامت. إذا لم يكن إشعار الدفع الصامت متاحًا ، فسيتم إصدار اختبار reCAPTCHA بدلاً من ذلك.

  5. بمجرد إرسال رمز SMS ، اطلب من المستخدم التحقق من الرمز. ثم استخدم ردهم لإنشاء PhoneAuthCredential :

    سويفت

    // Ask user for the verification code. Then:
    let credential = PhoneAuthProvider.provider().credential(
      withVerificationID: verificationId,
      verificationCode: verificationCode)
    

    ج موضوعية

    // Ask user for the SMS verification code. Then:
    FIRPhoneAuthCredential *credential = [FIRPhoneAuthProvider.provider
                                           credentialWithVerificationID:verificationID
                                           verificationCode:kPhoneSecondFactorVerificationCode];
    
  6. تهيئة كائن التوكيد:

    سويفت

    let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
    

    ج موضوعية

    FIRMultiFactorAssertion *assertion = [FIRPhoneMultiFactorGenerator assertionWithCredential:credential];
    
  7. أكمل التسجيل. اختياريًا ، يمكنك تحديد اسم عرض للعامل الثاني. هذا مفيد للمستخدمين الذين لديهم عدة عوامل ثانية ، حيث يتم إخفاء رقم الهاتف أثناء تدفق المصادقة (على سبيل المثال ، +1 ****** 1234).

    سويفت

    // Complete enrollment. This will update the underlying tokens
    // and trigger ID token change listener.
    user.multiFactor.enroll(with: assertion, displayName: displayName) { (error) in
      // ...
    }
    

    ج موضوعية

    // Complete enrollment. This will update the underlying tokens
    // and trigger ID token change listener.
    [authResult.user.multiFactor enrollWithAssertion:assertion
                                         displayName:nil
                                          completion:^(NSError * _Nullable error) {
        // ...
    }];
    

يوضح الكود أدناه مثالًا كاملاً لتسجيل عامل ثانٍ:

سويفت

let user = Auth.auth().currentUser
user?.multiFactor.getSessionWithCompletion({ (session, error) in
  // Send SMS verification code.
  PhoneAuthProvider.provider().verifyPhoneNumber(
    phoneNumber,
    uiDelegate: nil,
    multiFactorSession: session
  ) { (verificationId, error) in
    // verificationId will be needed for enrollment completion.
    // Ask user for the verification code.
    let credential = PhoneAuthProvider.provider().credential(
      withVerificationID: verificationId!,
      verificationCode: phoneSecondFactorVerificationCode)
    let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
    // Complete enrollment. This will update the underlying tokens
    // and trigger ID token change listener.
    user?.multiFactor.enroll(with: assertion, displayName: displayName) { (error) in
      // ...
    }
  }
})

ج موضوعية

FIRUser *user = FIRAuth.auth.currentUser;
[user.multiFactor getSessionWithCompletion:^(FIRMultiFactorSession * _Nullable session,
                                              NSError * _Nullable error) {
    // Send SMS verification code.
    [FIRPhoneAuthProvider.provider
      verifyPhoneNumber:phoneNumber
      UIDelegate:nil
      multiFactorSession:session
      completion:^(NSString * _Nullable verificationID, NSError * _Nullable error) {
        // verificationId will be needed for enrollment completion.

        // Ask user for the verification code.
        // ...

        // Then:
        FIRPhoneAuthCredential *credential =
            [FIRPhoneAuthProvider.provider credentialWithVerificationID:verificationID
                                                        verificationCode:kPhoneSecondFactorVerificationCode];
        FIRMultiFactorAssertion *assertion =
            [FIRPhoneMultiFactorGenerator assertionWithCredential:credential];

        // Complete enrollment. This will update the underlying tokens
        // and trigger ID token change listener.
        [user.multiFactor enrollWithAssertion:assertion
                                  displayName:displayName
                                    completion:^(NSError * _Nullable error) {
            // ...
        }];
    }];
}];

تهانينا! لقد نجحت في تسجيل عامل مصادقة ثانٍ للمستخدم.

تسجيل دخول المستخدمين بعامل ثانٍ

لتسجيل الدخول إلى مستخدم باستخدام التحقق الثنائي عبر الرسائل القصيرة SMS:

  1. سجّل دخول المستخدم بعامله الأول ، ثم اكتشف خطأ يشير إلى أن المصادقة متعددة العوامل مطلوبة. يحتوي هذا الخطأ على محلل ، وتلميحات حول العوامل الثانية المسجلة ، وجلسة أساسية تثبت نجاح مصادقة المستخدم باستخدام العامل الأول.

    على سبيل المثال ، إذا كان العامل الأول للمستخدم هو البريد الإلكتروني وكلمة المرور:

    سويفت

    Auth.auth().signIn(
      withEmail: email,
      password: password
    ) { (result, error) in
      let authError = error as NSError
      if authError?.code == AuthErrorCode.secondFactorRequired.rawValue {
        // The user is a multi-factor user. Second factor challenge is required.
        let resolver =
          authError!.userInfo[AuthErrorUserInfoMultiFactorResolverKey] as! MultiFactorResolver
        // ...
      } else {
        // Handle other errors such as wrong password.
      }
    }
    

    ج موضوعية

    [FIRAuth.auth signInWithEmail:email
                         password:password
                       completion:^(FIRAuthDataResult * _Nullable authResult,
                                    NSError * _Nullable error) {
        if (error == nil || error.code != FIRAuthErrorCodeSecondFactorRequired) {
            // User is not enrolled with a second factor and is successfully signed in.
            // ...
        } else {
            // The user is a multi-factor user. Second factor challenge is required.
        }
    }];
    

    إذا كان العامل الأول للمستخدم هو موفر متحد ، مثل OAuth ، فقم بالتقاط الخطأ بعد استدعاء getCredentialWith() .

  2. إذا كان المستخدم لديه عدة عوامل ثانوية مسجلة ، اسأله عن العامل الذي يجب استخدامه. يمكنك الحصول على رقم الهاتف resolver.hints[selectedIndex].phoneNumber باستخدام resolver.hints[selectedIndex].displayName .

    سويفت

    // Ask user which second factor to use. Then:
    if resolver.hints[selectedIndex].factorID == PhoneMultiFactorID {
      // User selected a phone second factor.
      // ...
    } else if resolver.hints[selectedIndex].factorID == TotpMultiFactorID {
      // User selected a TOTP second factor.
      // ...
    } else {
      // Unsupported second factor.
    }
    

    ج موضوعية

    FIRMultiFactorResolver *resolver =
        (FIRMultiFactorResolver *) error.userInfo[FIRAuthErrorUserInfoMultiFactorResolverKey];
    
    // Ask user which second factor to use. Then:
    FIRPhoneMultiFactorInfo *hint = (FIRPhoneMultiFactorInfo *) resolver.hints[selectedIndex];
    if (hint.factorID == FIRPhoneMultiFactorID) {
      // User selected a phone second factor.
      // ...
    } else if (hint.factorID == FIRTOTPMultiFactorID) {
      // User selected a TOTP second factor.
      // ...
    } else {
      // Unsupported second factor.
    }
    
  3. أرسل رسالة تحقق إلى هاتف المستخدم:

    سويفت

    // Send SMS verification code.
    let hint = resolver.hints[selectedIndex] as! PhoneMultiFactorInfo
    PhoneAuthProvider.provider().verifyPhoneNumber(
      with: hint,
      uiDelegate: nil,
      multiFactorSession: resolver.session
    ) { (verificationId, error) in
      // verificationId will be needed for sign-in completion.
    }
    

    ج موضوعية

    // Send SMS verification code
    [FIRPhoneAuthProvider.provider
      verifyPhoneNumberWithMultiFactorInfo:hint
      UIDelegate:nil
      multiFactorSession:resolver.session
      completion:^(NSString * _Nullable verificationID, NSError * _Nullable error) {
        if (error != nil) {
            // Failed to verify phone number.
        }
    }];
    
  4. بمجرد إرسال رمز SMS ، اطلب من المستخدم التحقق من الرمز واستخدامه لإنشاء PhoneAuthCredential :

    سويفت

    // Ask user for the verification code. Then:
    let credential = PhoneAuthProvider.provider().credential(
      withVerificationID: verificationId!,
      verificationCode: verificationCodeFromUser)
    

    ج موضوعية

    // Ask user for the SMS verification code. Then:
    FIRPhoneAuthCredential *credential =
        [FIRPhoneAuthProvider.provider
          credentialWithVerificationID:verificationID
                      verificationCode:verificationCodeFromUser];
    
  5. تهيئة كائن التأكيد باستخدام بيانات الاعتماد:

    سويفت

    let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
    

    ج موضوعية

    FIRMultiFactorAssertion *assertion =
        [FIRPhoneMultiFactorGenerator assertionWithCredential:credential];
    
  6. حل تسجيل الدخول. يمكنك بعد ذلك الوصول إلى نتيجة تسجيل الدخول الأصلية ، والتي تتضمن البيانات القياسية الخاصة بالموفر وبيانات اعتماد المصادقة:

    سويفت

    // Complete sign-in. This will also trigger the Auth state listeners.
    resolver.resolveSignIn(with: assertion) { (authResult, error) in
      // authResult will also contain the user, additionalUserInfo, optional
      // credential (null for email/password) associated with the first factor sign-in.
    
      // For example, if the user signed in with Google as a first factor,
      // authResult.additionalUserInfo will contain data related to Google provider that
      // the user signed in with.
    
      // user.credential contains the Google OAuth credential.
      // user.credential.accessToken contains the Google OAuth access token.
      // user.credential.idToken contains the Google OAuth ID token.
    }
    

    ج موضوعية

    // Complete sign-in.
    [resolver resolveSignInWithAssertion:assertion
                              completion:^(FIRAuthDataResult * _Nullable authResult,
                                            NSError * _Nullable error) {
        if (error != nil) {
            // User successfully signed in with the second factor phone number.
        }
    }];
    

يُظهر الرمز أدناه مثالاً كاملاً لتسجيل الدخول إلى مستخدم متعدد العوامل:

سويفت

Auth.auth().signIn(
  withEmail: email,
  password: password
) { (result, error) in
  let authError = error as NSError?
  if authError?.code == AuthErrorCode.secondFactorRequired.rawValue {
    let resolver =
      authError!.userInfo[AuthErrorUserInfoMultiFactorResolverKey] as! MultiFactorResolver

    // Ask user which second factor to use.
    // ...

    // Then:
    let hint = resolver.hints[selectedIndex] as! PhoneMultiFactorInfo

    // Send SMS verification code
    PhoneAuthProvider.provider().verifyPhoneNumber(
      with: hint,
      uiDelegate: nil,
      multiFactorSession: resolver.session
    ) { (verificationId, error) in
      if error != nil {
        // Failed to verify phone number.
      }
      // Ask user for the SMS verification code.
      // ...

      // Then:
      let credential = PhoneAuthProvider.provider().credential(
        withVerificationID: verificationId!,
        verificationCode: verificationCodeFromUser)
      let assertion = PhoneMultiFactorGenerator.assertion(with: credential)

      // Complete sign-in.
      resolver.resolveSignIn(with: assertion) { (authResult, error) in
        if error != nil {
          // User successfully signed in with the second factor phone number.
        }
      }
    }
  }
}

ج موضوعية

[FIRAuth.auth signInWithEmail:email
                     password:password
                   completion:^(FIRAuthDataResult * _Nullable authResult,
                               NSError * _Nullable error) {
    if (error == nil || error.code != FIRAuthErrorCodeSecondFactorRequired) {
        // User is not enrolled with a second factor and is successfully signed in.
        // ...
    } else {
        FIRMultiFactorResolver *resolver =
            (FIRMultiFactorResolver *) error.userInfo[FIRAuthErrorUserInfoMultiFactorResolverKey];

        // Ask user which second factor to use.
        // ...

        // Then:
        FIRPhoneMultiFactorInfo *hint = (FIRPhoneMultiFactorInfo *) resolver.hints[selectedIndex];

        // Send SMS verification code
        [FIRPhoneAuthProvider.provider
          verifyPhoneNumberWithMultiFactorInfo:hint
                                    UIDelegate:nil
                            multiFactorSession:resolver.session
                                    completion:^(NSString * _Nullable verificationID,
                                                NSError * _Nullable error) {
            if (error != nil) {
                // Failed to verify phone number.
            }

            // Ask user for the SMS verification code.
            // ...

            // Then:
            FIRPhoneAuthCredential *credential =
                [FIRPhoneAuthProvider.provider
                  credentialWithVerificationID:verificationID
                              verificationCode:kPhoneSecondFactorVerificationCode];
            FIRMultiFactorAssertion *assertion =
                [FIRPhoneMultiFactorGenerator assertionWithCredential:credential];

            // Complete sign-in.
            [resolver resolveSignInWithAssertion:assertion
                                      completion:^(FIRAuthDataResult * _Nullable authResult,
                                                    NSError * _Nullable error) {
                if (error != nil) {
                    // User successfully signed in with the second factor phone number.
                }
            }];
        }];
    }
}];

تهانينا! لقد نجحت في تسجيل دخول مستخدم باستخدام مصادقة متعددة العوامل.

ماذا بعد