Jeśli korzystasz już z Firebase Authentication with Identity Platform, możesz włączyć uwierzytelnianie wielopoziomowe z użyciem SMS-ów. do aplikacji na iOS.
Uwierzytelnianie wielopoziomowe zwiększa bezpieczeństwo aplikacji. Osoby przeprowadzające atak często wykradają hasła i konta społecznościowe, przechwytywanie SMS-a jest co jest utrudnione.
Zanim zaczniesz
Włącz co najmniej 1 dostawcę, który obsługuje uwierzytelnianie wielopoziomowe. Każdy dostawca obsługuje MFA z wyjątkiem uwierzytelniania telefonicznego, uwierzytelniania anonimowego i Apple Game Center
Upewnij się, że Twoja aplikacja weryfikuje adresy e-mail użytkowników. MFA wymaga weryfikacji adresu e-mail. Dzięki temu hakerzy nie będą mogli zarejestrować się w usłudze za pomocą adresu e-mail. których nie należy, a następnie zablokować rzeczywistego właściciela, dodając współczynnik konwersji.
Włączanie uwierzytelniania wielopoziomowego
Otwórz sekcję Uwierzytelnianie > Metoda logowania stronie konsoli Firebase.
W sekcji Zaawansowane włącz Uwierzytelnianie wielopoziomowe przez SMS-y.
Wpisz też numery telefonów, które będą używane podczas testowania aplikacji. Chociaż jest to opcjonalne, zdecydowanie zalecamy zarejestrowanie testowych numerów telefonów, i uniknąć ograniczenia w trakcie programowania.
Jeśli domena aplikacji nie została jeszcze autoryzowana, dodaj ją do zezwolenia na liście Uwierzytelnianie > Ustawienia stronie konsoli Firebase.
Weryfikowanie aplikacji
Firebase musi sprawdzić, czy żądania SMS-ów pochodzą z Twojego urządzenia . Możesz to zrobić na 2 sposoby:
Ciche powiadomienia APNs: gdy logujesz się na konto użytkownika po raz pierwszy, Firebase może wysyłać ciche powiadomienia push do urządzenia. Uwierzytelnianie będzie kontynuowane, gdy aplikacja otrzyma powiadomienie. Pamiętaj, że od iOS 8.0 nie musisz prosić użytkownika o zgodę na przesyłanie powiadomienia o korzystaniu z tej metody.
Weryfikacja reCAPTCHA: jeśli nie możesz wysłać cichego powiadomienia (na przykład na przykład użytkownik wyłączył odświeżanie w tle lub testujesz aplikacji w symulatorze iOS), możesz użyć reCAPTCHA. W wielu przypadkach reCAPTCHA automatycznie rozwiąże ten problem bez udziału użytkownika.
Używanie cichych powiadomień
Aby włączyć powiadomienia APNs na potrzeby usługi Firebase:
Włącz powiadomienia push w Xcode. do swojego projektu.
Prześlij klucz uwierzytelniania APNs za pomocą konsoli Firebase (wprowadzone zmiany zostanie automatycznie przeniesione na Google Cloud Firebase). Jeśli nie masz jeszcze klucza uwierzytelniania APNs, zapoznaj się z sekcją Konfigurowanie APN-ów w FCM aby dowiedzieć się, jak go uzyskać.
Otwórz konsolę Firebase.
Otwórz Ustawienia projektu.
Wybierz kartę Komunikacja w chmurze.
W obszarze Klucz uwierzytelniania APNs w sekcji Konfiguracja aplikacji na iOS kliknij Prześlij.
Wybierz klucz.
Dodaj identyfikator klucza. Identyfikator klucza znajdziesz w Certyfikaty, identyfikatory Profile w Apple Developer Member Center
Kliknij Prześlij.
Jeśli masz już certyfikat APNs, możesz go przesłać.
Używanie weryfikacji reCAPTCHA
Aby umożliwić pakietowi SDK klienta korzystanie z reCAPTCHA:
Otwórz konfigurację projektu w Xcode.
Kliknij dwukrotnie nazwę projektu w widoku drzewa po lewej stronie.
Wybierz aplikację w sekcji Cele.
Wybierz kartę Informacje.
Rozwiń sekcję Typy adresów URL.
Kliknij przycisk +.
W polu Schematy adresów URL wpisz odwrotny identyfikator klienta. Więcej ta wartość wymieniona w pliku konfiguracji
GoogleService-Info.plist
jakoREVERSED_CLIENT_ID
Gdy skończysz, Twoja konfiguracja powinna wyglądać mniej więcej tak:
Opcjonalnie możesz dostosować sposób, w jaki aplikacja przedstawia
SFSafariViewController
lub UIWebView
podczas wyświetlania reCAPTCHA. Do zrobienia
utwórz klasę niestandardową zgodną z protokołem FIRAuthUIDelegate
,
i przekazać je dostawcy usługi verifyPhoneNumber:UIDelegate:completion:
.
Wybór wzorca rejestracji
Możesz zdecydować, czy Twoja aplikacja wymaga uwierzytelniania wielopoziomowego i w jaki sposób i kiedy zarejestrować użytkowników. Oto kilka często spotykanych wzorców:
Zarejestruj drugi składnik logowania użytkownika w ramach rejestracji. Użyj tej , jeśli Twoja aplikacja wymaga uwierzytelniania wielopoziomowego dla wszystkich użytkowników. Pamiętaj, że konto musi mieć zweryfikowany adres e-mail, aby można było zarejestrować drugie , więc musisz to uwzględnić w procesie rejestracji.
Zaoferować możliwą do pominięcia opcję rejestracji drugiego składnika podczas rejestracji. aplikacji; które chcą zachęcić do uwierzytelniania wielopoziomowego, ale nie wymagają tego, preferować tę metodę.
umożliwia dodanie drugiego składnika z konta lub profilu użytkownika. na stronie zarządzania, a nie na ekranie rejestracji. Pozwala to zminimalizować tarcie podczas rejestracji, a jednocześnie stosować uwierzytelnianie dwuskładnikowe. dostępna dla użytkowników, którzy zwracają uwagę na bezpieczeństwo.
Wymagaj stopniowego dodawania drugiego składnika, gdy użytkownik chce uzyskać dostęp funkcje o wyższych wymaganiach w zakresie bezpieczeństwa.
Rejestrowanie drugiego składnika
Aby zarejestrować nowy czynnik dodatkowy dla użytkownika:
Ponownie uwierzytelnij użytkownika.
Poproś użytkownika o podanie numeru telefonu.
Pobierz sesję wielopoziomową dla użytkownika:
Swift
authResult.user.multiFactor.getSessionWithCompletion() { (session, error) in // ... }
Objective-C
[authResult.user.multiFactor getSessionWithCompletion:^(FIRMultiFactorSession * _Nullable session, NSError * _Nullable error) { // ... }];
Wyślij wiadomość weryfikacyjną na telefon użytkownika. Upewnij się, że numer telefonu to ma format zaczynający się od
+
, bez innych znaków interpunkcyjnych ani spacji (w przypadku przykład:+15105551234
).Swift
// Send SMS verification code. PhoneAuthProvider.provider().verifyPhoneNumber( phoneNumber, uiDelegate: nil, multiFactorSession: session) { (verificationId, error) in // verificationId will be needed for enrollment completion. }
Objective-C
// Send SMS verification code. [FIRPhoneAuthProvider.provider verifyPhoneNumber:phoneNumber UIDelegate:nil multiFactorSession:session completion:^(NSString * _Nullable verificationID, NSError * _Nullable error) { // verificationId will be needed for enrollment completion. }];
Chociaż nie jest to wymagane, warto wcześniej poinformować użytkowników, że otrzyma SMS-a, co spowoduje naliczenie standardowej opłaty.
Metoda
verifyPhoneNumber()
rozpoczyna proces weryfikacji aplikacji w w tle za pomocą cichych powiadomień push. Jeśli ciche powiadomienie push to niedostępny,zamiast tego wyświetlane jest zadanie reCAPTCHA.Gdy otrzymasz SMS-a, poproś użytkownika o jego potwierdzenie. Następnie użyj funkcji odpowiedź na kompilację
PhoneAuthCredential
:Swift
// Ask user for the verification code. Then: let credential = PhoneAuthProvider.provider().credential( withVerificationID: verificationId, verificationCode: verificationCode)
Objective-C
// Ask user for the SMS verification code. Then: FIRPhoneAuthCredential *credential = [FIRPhoneAuthProvider.provider credentialWithVerificationID:verificationID verificationCode:kPhoneSecondFactorVerificationCode];
Zainicjuj obiekt asercji:
Swift
let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
Objective-C
FIRMultiFactorAssertion *assertion = [FIRPhoneMultiFactorGenerator assertionWithCredential:credential];
Dokończ rejestrację. Opcjonalnie możesz określić wyświetlaną nazwę dla atrybutu drugiego czynnika. Jest to przydatne w przypadku użytkowników z wieloma współczynnikami sekundowymi, ponieważ podczas uwierzytelniania numer telefonu jest maskowany (na np. +1******1234).
Swift
// Complete enrollment. This will update the underlying tokens // and trigger ID token change listener. user.multiFactor.enroll(with: assertion, displayName: displayName) { (error) in // ... }
Objective-C
// Complete enrollment. This will update the underlying tokens // and trigger ID token change listener. [authResult.user.multiFactor enrollWithAssertion:assertion displayName:nil completion:^(NSError * _Nullable error) { // ... }];
Poniżej znajdziesz pełny przykład rejestrowania drugiego składnika:
Swift
let user = Auth.auth().currentUser
user?.multiFactor.getSessionWithCompletion({ (session, error) in
// Send SMS verification code.
PhoneAuthProvider.provider().verifyPhoneNumber(
phoneNumber,
uiDelegate: nil,
multiFactorSession: session
) { (verificationId, error) in
// verificationId will be needed for enrollment completion.
// Ask user for the verification code.
let credential = PhoneAuthProvider.provider().credential(
withVerificationID: verificationId!,
verificationCode: phoneSecondFactorVerificationCode)
let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
// Complete enrollment. This will update the underlying tokens
// and trigger ID token change listener.
user?.multiFactor.enroll(with: assertion, displayName: displayName) { (error) in
// ...
}
}
})
Objective-C
FIRUser *user = FIRAuth.auth.currentUser;
[user.multiFactor getSessionWithCompletion:^(FIRMultiFactorSession * _Nullable session,
NSError * _Nullable error) {
// Send SMS verification code.
[FIRPhoneAuthProvider.provider
verifyPhoneNumber:phoneNumber
UIDelegate:nil
multiFactorSession:session
completion:^(NSString * _Nullable verificationID, NSError * _Nullable error) {
// verificationId will be needed for enrollment completion.
// Ask user for the verification code.
// ...
// Then:
FIRPhoneAuthCredential *credential =
[FIRPhoneAuthProvider.provider credentialWithVerificationID:verificationID
verificationCode:kPhoneSecondFactorVerificationCode];
FIRMultiFactorAssertion *assertion =
[FIRPhoneMultiFactorGenerator assertionWithCredential:credential];
// Complete enrollment. This will update the underlying tokens
// and trigger ID token change listener.
[user.multiFactor enrollWithAssertion:assertion
displayName:displayName
completion:^(NSError * _Nullable error) {
// ...
}];
}];
}];
Gratulacje! Udało Ci się zarejestrować drugi etap uwierzytelniania dla użytkownika.
Logowanie użytkowników przy użyciu drugiego składnika
Aby zalogować użytkownika za pomocą weryfikacji dwuetapowej przez SMS:
Zaloguj użytkownika przy użyciu pierwszego składnika, a następnie wykryj błąd wskazujący wymagane jest uwierzytelnianie dwuskładnikowe. Ten błąd zawiera resolver, dotyczące zarejestrowanych drugich czynników oraz sesji bazowej. (udało się uwierzytelnić użytkownika za pomocą pierwszego składnika).
Jeśli np. pierwszym czynnikiem były adres e-mail i hasło użytkownika:
Swift
Auth.auth().signIn( withEmail: email, password: password ) { (result, error) in let authError = error as NSError if authError?.code == AuthErrorCode.secondFactorRequired.rawValue { // The user is a multi-factor user. Second factor challenge is required. let resolver = authError!.userInfo[AuthErrorUserInfoMultiFactorResolverKey] as! MultiFactorResolver // ... } else { // Handle other errors such as wrong password. } }
Objective-C
[FIRAuth.auth signInWithEmail:email password:password completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) { if (error == nil || error.code != FIRAuthErrorCodeSecondFactorRequired) { // User is not enrolled with a second factor and is successfully signed in. // ... } else { // The user is a multi-factor user. Second factor challenge is required. } }];
Jeśli pierwszym składnikiem użytkownika jest sfederowany dostawca, np. OAuth, przechwytuj kod po wywołaniu numeru
getCredentialWith()
wystąpił błąd.Jeśli użytkownik ma zarejestrowanych kilka czynników dodatkowych, zapytaj go, który których użyć. Zamaskowany numer telefonu możesz uzyskać dzięki
resolver.hints[selectedIndex].phoneNumber
i wyświetlana nazwa zresolver.hints[selectedIndex].displayName
Swift
// Ask user which second factor to use. Then: if resolver.hints[selectedIndex].factorID == PhoneMultiFactorID { // User selected a phone second factor. // ... } else if resolver.hints[selectedIndex].factorID == TotpMultiFactorID { // User selected a TOTP second factor. // ... } else { // Unsupported second factor. }
Objective-C
FIRMultiFactorResolver *resolver = (FIRMultiFactorResolver *) error.userInfo[FIRAuthErrorUserInfoMultiFactorResolverKey]; // Ask user which second factor to use. Then: FIRPhoneMultiFactorInfo *hint = (FIRPhoneMultiFactorInfo *) resolver.hints[selectedIndex]; if (hint.factorID == FIRPhoneMultiFactorID) { // User selected a phone second factor. // ... } else if (hint.factorID == FIRTOTPMultiFactorID) { // User selected a TOTP second factor. // ... } else { // Unsupported second factor. }
Wyślij wiadomość weryfikacyjną na telefon użytkownika:
Swift
// Send SMS verification code. let hint = resolver.hints[selectedIndex] as! PhoneMultiFactorInfo PhoneAuthProvider.provider().verifyPhoneNumber( with: hint, uiDelegate: nil, multiFactorSession: resolver.session ) { (verificationId, error) in // verificationId will be needed for sign-in completion. }
Objective-C
// Send SMS verification code [FIRPhoneAuthProvider.provider verifyPhoneNumberWithMultiFactorInfo:hint UIDelegate:nil multiFactorSession:resolver.session completion:^(NSString * _Nullable verificationID, NSError * _Nullable error) { if (error != nil) { // Failed to verify phone number. } }];
Gdy zostanie wysłany kod SMS, poproś użytkownika o jego potwierdzenie i użycie go do: utwórz
PhoneAuthCredential
:Swift
// Ask user for the verification code. Then: let credential = PhoneAuthProvider.provider().credential( withVerificationID: verificationId!, verificationCode: verificationCodeFromUser)
Objective-C
// Ask user for the SMS verification code. Then: FIRPhoneAuthCredential *credential = [FIRPhoneAuthProvider.provider credentialWithVerificationID:verificationID verificationCode:verificationCodeFromUser];
Zainicjuj obiekt asercji za pomocą danych logowania:
Swift
let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
Objective-C
FIRMultiFactorAssertion *assertion = [FIRPhoneMultiFactorGenerator assertionWithCredential:credential];
Zakończ proces logowania. Następnie możesz uzyskać dostęp do pierwotnego wyniku logowania, obejmuje standardowe dane uwierzytelniające i dane uwierzytelniające dostawcy:
Swift
// Complete sign-in. This will also trigger the Auth state listeners. resolver.resolveSignIn(with: assertion) { (authResult, error) in // authResult will also contain the user, additionalUserInfo, optional // credential (null for email/password) associated with the first factor sign-in. // For example, if the user signed in with Google as a first factor, // authResult.additionalUserInfo will contain data related to Google provider that // the user signed in with. // user.credential contains the Google OAuth credential. // user.credential.accessToken contains the Google OAuth access token. // user.credential.idToken contains the Google OAuth ID token. }
Objective-C
// Complete sign-in. [resolver resolveSignInWithAssertion:assertion completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) { if (error != nil) { // User successfully signed in with the second factor phone number. } }];
Poniżej znajdziesz pełny przykład logowania użytkownika wielopoziomowego:
Swift
Auth.auth().signIn(
withEmail: email,
password: password
) { (result, error) in
let authError = error as NSError?
if authError?.code == AuthErrorCode.secondFactorRequired.rawValue {
let resolver =
authError!.userInfo[AuthErrorUserInfoMultiFactorResolverKey] as! MultiFactorResolver
// Ask user which second factor to use.
// ...
// Then:
let hint = resolver.hints[selectedIndex] as! PhoneMultiFactorInfo
// Send SMS verification code
PhoneAuthProvider.provider().verifyPhoneNumber(
with: hint,
uiDelegate: nil,
multiFactorSession: resolver.session
) { (verificationId, error) in
if error != nil {
// Failed to verify phone number.
}
// Ask user for the SMS verification code.
// ...
// Then:
let credential = PhoneAuthProvider.provider().credential(
withVerificationID: verificationId!,
verificationCode: verificationCodeFromUser)
let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
// Complete sign-in.
resolver.resolveSignIn(with: assertion) { (authResult, error) in
if error != nil {
// User successfully signed in with the second factor phone number.
}
}
}
}
}
Objective-C
[FIRAuth.auth signInWithEmail:email
password:password
completion:^(FIRAuthDataResult * _Nullable authResult,
NSError * _Nullable error) {
if (error == nil || error.code != FIRAuthErrorCodeSecondFactorRequired) {
// User is not enrolled with a second factor and is successfully signed in.
// ...
} else {
FIRMultiFactorResolver *resolver =
(FIRMultiFactorResolver *) error.userInfo[FIRAuthErrorUserInfoMultiFactorResolverKey];
// Ask user which second factor to use.
// ...
// Then:
FIRPhoneMultiFactorInfo *hint = (FIRPhoneMultiFactorInfo *) resolver.hints[selectedIndex];
// Send SMS verification code
[FIRPhoneAuthProvider.provider
verifyPhoneNumberWithMultiFactorInfo:hint
UIDelegate:nil
multiFactorSession:resolver.session
completion:^(NSString * _Nullable verificationID,
NSError * _Nullable error) {
if (error != nil) {
// Failed to verify phone number.
}
// Ask user for the SMS verification code.
// ...
// Then:
FIRPhoneAuthCredential *credential =
[FIRPhoneAuthProvider.provider
credentialWithVerificationID:verificationID
verificationCode:kPhoneSecondFactorVerificationCode];
FIRMultiFactorAssertion *assertion =
[FIRPhoneMultiFactorGenerator assertionWithCredential:credential];
// Complete sign-in.
[resolver resolveSignInWithAssertion:assertion
completion:^(FIRAuthDataResult * _Nullable authResult,
NSError * _Nullable error) {
if (error != nil) {
// User successfully signed in with the second factor phone number.
}
}];
}];
}
}];
Gratulacje! Udało Ci się zalogować użytkownika za pomocą uwierzytelniania wielopoziomowego uwierzytelnianie.
Co dalej?
- Zarządzanie użytkownikami uwierzytelniania wielopoziomowego automatycznie za pomocą Admin SDK.