Wenn Sie ein Upgrade auf Firebase Authentication mit Identity Platform durchgeführt haben, können Sie Ihrer Web-App die mehrstufige SMS-Authentifizierung hinzufügen.
Die Multi-Faktor-Authentifizierung erhöht die Sicherheit Ihrer App. Während Angreifer oft Passwörter und soziale Konten kompromittieren, ist das Abfangen einer Textnachricht schwieriger.
Bevor Sie beginnen
Aktivieren Sie mindestens einen Anbieter, der die mehrstufige Authentifizierung unterstützt. Jeder Anbieter unterstützt MFA, außer Telefonauthentifizierung, anonyme Authentifizierung und Apple Game Center.
Stellen Sie sicher, dass Ihre App Benutzer-E-Mails überprüft. MFA erfordert eine E-Mail-Bestätigung. Dies verhindert, dass böswillige Akteure sich mit einer E-Mail-Adresse, die ihnen nicht gehört, für einen Dienst registrieren und dann den wahren Eigentümer aussperren, indem sie einen zweiten Faktor hinzufügen.
Mandantenfähigkeit verwenden
Wenn Sie die mehrstufige Authentifizierung für die Verwendung in einer Umgebung mit mehreren Mandanten aktivieren, stellen Sie sicher, dass Sie die folgenden Schritte ausführen (zusätzlich zu den restlichen Anweisungen in diesem Dokument):
Wählen Sie in der GCP Console den Mandanten aus, mit dem Sie arbeiten möchten.
Legen Sie in Ihrem Code das Feld
tenantIdin derAuth-Instanz auf die ID Ihres Mandanten fest. Zum Beispiel:Web version 9
import { getAuth } from "firebase/auth"; const auth = getAuth(app); auth.tenantId = "myTenantId1";Web version 8
firebase.auth().tenantId = 'myTenantId1';
Multi-Faktor-Authentifizierung aktivieren
Öffnen Sie die Seite Authentifizierung > Anmeldemethode der Firebase- Konsole.
Aktivieren Sie im Abschnitt „ Erweitert “ die SMS-Multi-Faktor-Authentifizierung .
Sie sollten auch die Telefonnummern eingeben, mit denen Sie Ihre App testen werden. Obwohl optional, wird die Registrierung von Testtelefonnummern dringend empfohlen, um eine Drosselung während der Entwicklung zu vermeiden.
Wenn Sie die Domäne Ihrer App noch nicht autorisiert haben, fügen Sie sie der Zulassungsliste auf der Seite Authentifizierung > Einstellungen der Firebase-Konsole hinzu.
Auswählen eines Registrierungsmusters
Sie können wählen, ob Ihre App eine mehrstufige Authentifizierung erfordert und wie und wann Sie Ihre Benutzer registrieren. Einige gängige Muster sind:
Registrieren Sie den zweiten Faktor des Benutzers als Teil der Registrierung. Verwenden Sie diese Methode, wenn Ihre App eine mehrstufige Authentifizierung für alle Benutzer erfordert.
Bieten Sie eine überspringbare Option an, um während der Registrierung einen zweiten Faktor zu registrieren. Apps, die die mehrstufige Authentifizierung fördern, aber nicht verlangen möchten, bevorzugen möglicherweise diesen Ansatz.
Bieten Sie die Möglichkeit, einen zweiten Faktor von der Konto- oder Profilverwaltungsseite des Benutzers anstelle des Anmeldebildschirms hinzuzufügen. Dies minimiert Reibungsverluste während des Registrierungsprozesses und stellt gleichzeitig die Multi-Faktor-Authentifizierung für sicherheitssensible Benutzer zur Verfügung.
Erfordern Sie das schrittweise Hinzufügen eines zweiten Faktors, wenn der Benutzer auf Funktionen mit erhöhten Sicherheitsanforderungen zugreifen möchte.
Einrichten des reCAPTCHA-Verifizierers
Bevor Sie SMS-Codes senden können, müssen Sie einen reCAPTCHA-Verifizierer konfigurieren. Firebase verwendet reCAPTCHA, um Missbrauch zu verhindern, indem sichergestellt wird, dass Anfragen zur Bestätigung der Telefonnummer von einer der zulässigen Domänen Ihrer App stammen.
Sie müssen keinen reCAPTCHA-Client manuell einrichten; Das RecaptchaVerifier -Objekt des Client-SDK erstellt und initialisiert automatisch alle erforderlichen Clientschlüssel und -geheimnisse.
Verwendung von unsichtbarem reCAPTCHA
Das RecaptchaVerifier Objekt unterstützt unsichtbares reCAPTCHA , das den Benutzer häufig verifizieren kann, ohne dass eine Interaktion erforderlich ist. Um ein unsichtbares reCAPTCHA zu verwenden, erstellen Sie einen RecaptchaVerifier mit dem size -Parameter auf invisible und geben Sie die ID des UI-Elements an, das die Multi-Factor-Registrierung startet:
Web version 9
import { RecaptchaVerifier } from "firebase/auth";
const recaptchaVerifier = new RecaptchaVerifier("sign-in-button", {
"size": "invisible",
"callback": function(response) {
// reCAPTCHA solved, you can proceed with
// phoneAuthProvider.verifyPhoneNumber(...).
onSolvedRecaptcha();
}
}, auth);
Web version 8
var recaptchaVerifier = new firebase.auth.RecaptchaVerifier('sign-in-button', {
'size': 'invisible',
'callback': function(response) {
// reCAPTCHA solved, you can proceed with phoneAuthProvider.verifyPhoneNumber(...).
onSolvedRecaptcha();
}
});
Verwenden des reCAPTCHA-Widgets
Um ein sichtbares reCAPTCHA-Widget zu verwenden, erstellen Sie ein HTML-Element, das das Widget enthält, und erstellen Sie dann ein RecaptchaVerifier Objekt mit der ID des UI-Containers. Sie können optional auch Rückrufe festlegen, die aufgerufen werden, wenn das reCAPTCHA gelöst wird oder abläuft:
Web version 9
import { RecaptchaVerifier } from "firebase/auth";
const recaptchaVerifier = new RecaptchaVerifier(
"recaptcha-container",
// Optional reCAPTCHA parameters.
{
"size": "normal",
"callback": function(response) {
// reCAPTCHA solved, you can proceed with
// phoneAuthProvider.verifyPhoneNumber(...).
onSolvedRecaptcha();
},
"expired-callback": function() {
// Response expired. Ask user to solve reCAPTCHA again.
// ...
}
}, auth
);
Web version 8
var recaptchaVerifier = new firebase.auth.RecaptchaVerifier(
'recaptcha-container',
// Optional reCAPTCHA parameters.
{
'size': 'normal',
'callback': function(response) {
// reCAPTCHA solved, you can proceed with phoneAuthProvider.verifyPhoneNumber(...).
// ...
onSolvedRecaptcha();
},
'expired-callback': function() {
// Response expired. Ask user to solve reCAPTCHA again.
// ...
}
});
Vorabrendern des reCAPTCHA
Optional können Sie das reCAPTCHA vorab rendern, bevor Sie mit der zweistufigen Registrierung beginnen:
Web version 9
recaptchaVerifier.render()
.then(function (widgetId) {
window.recaptchaWidgetId = widgetId;
});
Web version 8
recaptchaVerifier.render()
.then(function(widgetId) {
window.recaptchaWidgetId = widgetId;
});
Nachdem render() aufgelöst wurde, erhalten Sie die Widget-ID von reCAPTCHA, mit der Sie Aufrufe an die reCAPTCHA-API senden können:
var recaptchaResponse = grecaptcha.getResponse(window.recaptchaWidgetId);
RecaptchaVerifier abstrahiert diese Logik mit der Methode verify , sodass Sie die Variable grecaptcha nicht direkt behandeln müssen.
Registrierung eines zweiten Faktors
So registrieren Sie einen neuen sekundären Faktor für einen Benutzer:
Authentifizieren Sie den Benutzer erneut.
Bitten Sie den Benutzer, seine Telefonnummer einzugeben.
Initialisieren Sie die reCAPTCHA-Überprüfung wie im vorherigen Abschnitt dargestellt. Überspringen Sie diesen Schritt, wenn bereits eine RecaptchaVerifier-Instanz konfiguriert ist:
Web version 9
import { RecaptchaVerifier } from "firebase/auth"; const recaptchaVerifier = new RecaptchaVerifier('recaptcha-container-id', undefined, auth);Web version 8
var recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container-id');Holen Sie sich eine Multi-Faktor-Sitzung für den Benutzer:
Web version 9
import { multiFactor } from "firebase/auth"; multiFactor(user).getSession().then(function (multiFactorSession) { // ... });Web version 8
user.multiFactor.getSession().then(function(multiFactorSession) { // ... })Initialisieren Sie ein
PhoneInfoOptionsObjekt mit der Telefonnummer des Benutzers und der Multi-Factor-Sitzung:Web version 9
// Specify the phone number and pass the MFA session. const phoneInfoOptions = { phoneNumber: phoneNumber, session: multiFactorSession };Web version 8
// Specify the phone number and pass the MFA session. var phoneInfoOptions = { phoneNumber: phoneNumber, session: multiFactorSession };Senden Sie eine Bestätigungsnachricht an das Telefon des Benutzers:
Web version 9
import { PhoneAuthProvider } from "firebase/auth"; const phoneAuthProvider = new PhoneAuthProvider(auth); phoneAuthProvider.verifyPhoneNumber(phoneInfoOptions, recaptchaVerifier) .then(function (verificationId) { // verificationId will be needed to complete enrollment. });Web version 8
var phoneAuthProvider = new firebase.auth.PhoneAuthProvider(); // Send SMS verification code. return phoneAuthProvider.verifyPhoneNumber(phoneInfoOptions, recaptchaVerifier) .then(function(verificationId) { // verificationId will be needed for enrollment completion. })Obwohl dies nicht erforderlich ist, empfiehlt es sich, Benutzer im Voraus darüber zu informieren, dass sie eine SMS-Nachricht erhalten und dass Standardtarife gelten.
Wenn die Anforderung fehlschlägt, setzen Sie das reCAPTCHA zurück und wiederholen Sie den vorherigen Schritt, damit der Benutzer es erneut versuchen kann. Beachten Sie, dass
verifyPhoneNumber()das reCAPTCHA automatisch zurücksetzt, wenn es einen Fehler auslöst, da reCAPTCHA-Token nur einmal verwendet werden.Web version 9
recaptchaVerifier.clear();Web version 8
recaptchaVerifier.clear();Sobald der SMS-Code gesendet wurde, bitten Sie den Benutzer, den Code zu bestätigen:
Web version 9
// Ask user for the verification code. Then: const cred = PhoneAuthProvider.credential(verificationId, verificationCode);Web version 8
// Ask user for the verification code. Then: var cred = firebase.auth.PhoneAuthProvider.credential(verificationId, verificationCode);Initialisieren Sie ein
MultiFactorAssertionObjekt mitPhoneAuthCredential:Web version 9
import { PhoneMultiFactorGenerator } from "firebase/auth"; const multiFactorAssertion = PhoneMultiFactorGenerator.assertion(cred);Web version 8
var multiFactorAssertion = firebase.auth.PhoneMultiFactorGenerator.assertion(cred);Schließen Sie die Registrierung ab. Optional können Sie einen Anzeigenamen für den zweiten Faktor angeben. Dies ist nützlich für Benutzer mit mehreren Sekundenfaktoren, da die Telefonnummer während des Authentifizierungsflusses maskiert wird (z. B. +1******1234).
Web version 9
// Complete enrollment. This will update the underlying tokens // and trigger ID token change listener. multiFactor(user).enroll(multiFactorAssertion, "My personal phone number");Web version 8
// Complete enrollment. This will update the underlying tokens // and trigger ID token change listener. user.multiFactor.enroll(multiFactorAssertion, 'My personal phone number');
Der folgende Code zeigt ein vollständiges Beispiel für die Registrierung eines zweiten Faktors:
Web version 9
import {
multiFactor, PhoneAuthProvider, PhoneMultiFactorGenerator,
RecaptchaVerifier
} from "firebase/auth";
const recaptchaVerifier = new RecaptchaVerifier('recaptcha-container-id', undefined, auth);
multiFactor(user).getSession()
.then(function (multiFactorSession) {
// Specify the phone number and pass the MFA session.
const phoneInfoOptions = {
phoneNumber: phoneNumber,
session: multiFactorSession
};
const phoneAuthProvider = new PhoneAuthProvider(auth);
// Send SMS verification code.
return phoneAuthProvider.verifyPhoneNumber(phoneInfoOptions, recaptchaVerifier);
}).then(function (verificationId) {
// Ask user for the verification code. Then:
const cred = PhoneAuthProvider.credential(verificationId, verificationCode);
const multiFactorAssertion = PhoneMultiFactorGenerator.assertion(cred);
// Complete enrollment.
return multiFactor(user).enroll(multiFactorAssertion, mfaDisplayName);
});
Web version 8
var recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container-id');
user.multiFactor.getSession().then(function(multiFactorSession) {
// Specify the phone number and pass the MFA session.
var phoneInfoOptions = {
phoneNumber: phoneNumber,
session: multiFactorSession
};
var phoneAuthProvider = new firebase.auth.PhoneAuthProvider();
// Send SMS verification code.
return phoneAuthProvider.verifyPhoneNumber(
phoneInfoOptions, recaptchaVerifier);
})
.then(function(verificationId) {
// Ask user for the verification code.
var cred = firebase.auth.PhoneAuthProvider.credential(verificationId, verificationCode);
var multiFactorAssertion = firebase.auth.PhoneMultiFactorGenerator.assertion(cred);
// Complete enrollment.
return user.multiFactor.enroll(multiFactorAssertion, mfaDisplayName);
});
Glückwünsche! Sie haben erfolgreich einen zweiten Authentifizierungsfaktor für einen Benutzer registriert.
Anmelden von Benutzern mit einem zweiten Faktor
So melden Sie einen Benutzer mit Zwei-Faktor-SMS-Bestätigung an:
Melden Sie den Benutzer mit seinem ersten Faktor an und fangen Sie dann den Fehler
auth/multi-factor-auth-requiredab. Dieser Fehler enthält einen Resolver, Hinweise auf die registrierten zweiten Faktoren und eine zugrunde liegende Sitzung, die beweist, dass sich der Benutzer erfolgreich mit dem ersten Faktor authentifiziert hat.Wenn der erste Faktor des Benutzers beispielsweise eine E-Mail-Adresse und ein Passwort war:
Web version 9
import { getAuth, getMultiFactorResolver} from "firebase/auth"; const auth = getAuth(); signInWithEmailAndPassword(auth, email, password) .then(function (userCredential) { // User successfully signed in and is not enrolled with a second factor. }) .catch(function (error) { if (error.code == 'auth/multi-factor-auth-required') { // The user is a multi-factor user. Second factor challenge is required. resolver = getMultiFactorResolver(auth, error); // ... } else if (error.code == 'auth/wrong-password') { // Handle other errors such as wrong password. } });Web version 8
firebase.auth().signInWithEmailAndPassword(email, password) .then(function(userCredential) { // User successfully signed in and is not enrolled with a second factor. }) .catch(function(error) { if (error.code == 'auth/multi-factor-auth-required') { // The user is a multi-factor user. Second factor challenge is required. resolver = error.resolver; // ... } else if (error.code == 'auth/wrong-password') { // Handle other errors such as wrong password. } ... });Wenn der erste Faktor des Benutzers ein föderierter Anbieter wie OAuth, SAML oder OIDC ist, fangen Sie den Fehler nach dem Aufruf
signInWithPopup()odersignInWithRedirect().Wenn der Benutzer mehrere sekundäre Faktoren registriert hat, fragen Sie ihn, welchen er verwenden soll:
Web version 9
// Ask user which second factor to use. // You can get the masked phone number via resolver.hints[selectedIndex].phoneNumber // You can get the display name via resolver.hints[selectedIndex].displayName if (resolver.hints[selectedIndex].factorId === PhoneMultiFactorGenerator.FACTOR_ID) { // User selected a phone second factor. // ... } else { // Unsupported second factor. // Note that only phone second factors are currently supported. }Web version 8
// Ask user which second factor to use. // You can get the masked phone number via resolver.hints[selectedIndex].phoneNumber // You can get the display name via resolver.hints[selectedIndex].displayName if (resolver.hints[selectedIndex].factorId === firebase.auth.PhoneMultiFactorGenerator.FACTOR_ID) { // User selected a phone second factor. // ... } else { // Unsupported second factor. // Note that only phone second factors are currently supported. }Initialisieren Sie die reCAPTCHA-Überprüfung wie im vorherigen Abschnitt dargestellt. Überspringen Sie diesen Schritt, wenn bereits eine RecaptchaVerifier-Instanz konfiguriert ist:
Web version 9
import { RecaptchaVerifier } from "firebase/auth"; recaptchaVerifier = new RecaptchaVerifier('recaptcha-container-id', undefined, auth);Web version 8
var recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container-id');Initialisieren Sie ein
PhoneInfoOptionsObjekt mit der Telefonnummer des Benutzers und der Multi-Factor-Sitzung. Diese Werte sind imresolver-Objekt enthalten, das an den Fehlerauth/multi-factor-auth-requiredübergeben wird:Web version 9
const phoneInfoOptions = { multiFactorHint: resolver.hints[selectedIndex], session: resolver.session };Web version 8
var phoneInfoOptions = { multiFactorHint: resolver.hints[selectedIndex], session: resolver.session };Senden Sie eine Bestätigungsnachricht an das Telefon des Benutzers:
Web version 9
// Send SMS verification code. const phoneAuthProvider = new PhoneAuthProvider(auth); phoneAuthProvider.verifyPhoneNumber(phoneInfoOptions, recaptchaVerifier) .then(function (verificationId) { // verificationId will be needed for sign-in completion. });Web version 8
var phoneAuthProvider = new firebase.auth.PhoneAuthProvider(); // Send SMS verification code. return phoneAuthProvider.verifyPhoneNumber(phoneInfoOptions, recaptchaVerifier) .then(function(verificationId) { // verificationId will be needed for sign-in completion. })Wenn die Anfrage fehlschlägt, setzen Sie das reCAPTCHA zurück und wiederholen Sie den vorherigen Schritt, damit der Benutzer es erneut versuchen kann:
Web version 9
recaptchaVerifier.clear();Web version 8
recaptchaVerifier.clear();Sobald der SMS-Code gesendet wurde, bitten Sie den Benutzer, den Code zu bestätigen:
Web version 9
const cred = PhoneAuthProvider.credential(verificationId, verificationCode);Web version 8
// Ask user for the verification code. Then: var cred = firebase.auth.PhoneAuthProvider.credential(verificationId, verificationCode);Initialisieren Sie ein
MultiFactorAssertionObjekt mitPhoneAuthCredential:Web version 9
const multiFactorAssertion = PhoneMultiFactorGenerator.assertion(cred);Web version 8
var multiFactorAssertion = firebase.auth.PhoneMultiFactorGenerator.assertion(cred);Rufen Sie
resolver.resolveSignIn()auf, um die sekundäre Authentifizierung abzuschließen. Sie können dann auf das ursprüngliche Anmeldeergebnis zugreifen, das die standardmäßigen anbieterspezifischen Daten und Authentifizierungsdaten enthält:Web version 9
// Complete sign-in. This will also trigger the Auth state listeners. resolver.resolveSignIn(multiFactorAssertion) .then(function (userCredential) { // userCredential will also contain the user, additionalUserInfo, optional // credential (null for email/password) associated with the first factor sign-in. // For example, if the user signed in with Google as a first factor, // userCredential.additionalUserInfo will contain data related to Google // provider that the user signed in with. // - user.credential contains the Google OAuth credential. // - user.credential.accessToken contains the Google OAuth access token. // - user.credential.idToken contains the Google OAuth ID token. });Web version 8
// Complete sign-in. This will also trigger the Auth state listeners. resolver.resolveSignIn(multiFactorAssertion) .then(function(userCredential) { // userCredential will also contain the user, additionalUserInfo, optional // credential (null for email/password) associated with the first factor sign-in. // For example, if the user signed in with Google as a first factor, // userCredential.additionalUserInfo will contain data related to Google provider that // the user signed in with. // user.credential contains the Google OAuth credential. // user.credential.accessToken contains the Google OAuth access token. // user.credential.idToken contains the Google OAuth ID token. });
Der folgende Code zeigt ein vollständiges Beispiel für die Anmeldung eines Multi-Factor-Benutzers:
Web version 9
import {
getAuth,
getMultiFactorResolver,
PhoneAuthProvider,
PhoneMultiFactorGenerator,
RecaptchaVerifier,
signInWithEmailAndPassword
} from "firebase/auth";
const recaptchaVerifier = new RecaptchaVerifier('recaptcha-container-id', undefined, auth);
const auth = getAuth();
signInWithEmailAndPassword(auth, email, password)
.then(function (userCredential) {
// User is not enrolled with a second factor and is successfully
// signed in.
// ...
})
.catch(function (error) {
if (error.code == 'auth/multi-factor-auth-required') {
const resolver = getMultiFactorResolver(auth, error);
// Ask user which second factor to use.
if (resolver.hints[selectedIndex].factorId ===
PhoneMultiFactorGenerator.FACTOR_ID) {
const phoneInfoOptions = {
multiFactorHint: resolver.hints[selectedIndex],
session: resolver.session
};
const phoneAuthProvider = new PhoneAuthProvider(auth);
// Send SMS verification code
return phoneAuthProvider.verifyPhoneNumber(phoneInfoOptions, recaptchaVerifier)
.then(function (verificationId) {
// Ask user for the SMS verification code. Then:
const cred = PhoneAuthProvider.credential(
verificationId, verificationCode);
const multiFactorAssertion =
PhoneMultiFactorGenerator.assertion(cred);
// Complete sign-in.
return resolver.resolveSignIn(multiFactorAssertion)
})
.then(function (userCredential) {
// User successfully signed in with the second factor phone number.
});
} else {
// Unsupported second factor.
}
} else if (error.code == 'auth/wrong-password') {
// Handle other errors such as wrong password.
}
});
Web version 8
var resolver;
firebase.auth().signInWithEmailAndPassword(email, password)
.then(function(userCredential) {
// User is not enrolled with a second factor and is successfully signed in.
// ...
})
.catch(function(error) {
if (error.code == 'auth/multi-factor-auth-required') {
resolver = error.resolver;
// Ask user which second factor to use.
if (resolver.hints[selectedIndex].factorId ===
firebase.auth.PhoneMultiFactorGenerator.FACTOR_ID) {
var phoneInfoOptions = {
multiFactorHint: resolver.hints[selectedIndex],
session: resolver.session
};
var phoneAuthProvider = new firebase.auth.PhoneAuthProvider();
// Send SMS verification code
return phoneAuthProvider.verifyPhoneNumber(phoneInfoOptions, recaptchaVerifier)
.then(function(verificationId) {
// Ask user for the SMS verification code.
var cred = firebase.auth.PhoneAuthProvider.credential(
verificationId, verificationCode);
var multiFactorAssertion =
firebase.auth.PhoneMultiFactorGenerator.assertion(cred);
// Complete sign-in.
return resolver.resolveSignIn(multiFactorAssertion)
})
.then(function(userCredential) {
// User successfully signed in with the second factor phone number.
});
} else {
// Unsupported second factor.
}
} else if (error.code == 'auth/wrong-password') {
// Handle other errors such as wrong password.
} ...
});
Glückwünsche! Sie haben einen Benutzer erfolgreich mit Multi-Faktor-Authentifizierung angemeldet.
Was kommt als nächstes
- Verwalten Sie Multi-Factor-Benutzer programmgesteuert mit dem Admin SDK.