Autenticati con Firebase con un numero di telefono utilizzando JavaScript

Puoi utilizzare l'autenticazione Firebase per accedere a un utente inviando un messaggio SMS al telefono dell'utente. L'utente accede utilizzando un codice monouso contenuto nel messaggio SMS.

Il modo più semplice per aggiungere l'accesso al numero di telefono all'app è utilizzare FirebaseUI , che include un widget di accesso diretto che implementa i flussi di accesso per l'accesso al numero di telefono, nonché l'accesso federato e basato su password -in. Questo documento descrive come implementare un flusso di accesso a un numero di telefono utilizzando Firebase SDK.

Prima di iniziare

Se non l'hai già fatto, copia lo snippet di inizializzazione dalla console Firebase al tuo progetto come descritto in Aggiungere Firebase al tuo progetto JavaScript .

Problemi di sicurezza

L'autenticazione utilizzando solo un numero di telefono, sebbene conveniente, è meno sicura rispetto agli altri metodi disponibili, poiché il possesso di un numero di telefono può essere facilmente trasferito tra utenti. Inoltre, sui dispositivi con più profili utente, qualsiasi utente in grado di ricevere messaggi SMS può accedere a un account utilizzando il numero di telefono del dispositivo.

Se utilizzi l'accesso basato sul numero di telefono nella tua app, dovresti offrirlo insieme a metodi di accesso più sicuri e informare gli utenti dei compromessi di sicurezza dell'utilizzo dell'accesso tramite numero di telefono.

Abilita l'accesso con il numero di telefono per il tuo progetto Firebase

Per accedere agli utenti tramite SMS, devi prima abilitare il metodo di accesso del numero di telefono per il tuo progetto Firebase:

  1. Nella console Firebase , apri la sezione Autenticazione .
  2. Nella pagina Metodo di accesso, abilitare il metodo di accesso Numero di telefono .
  3. Nella stessa pagina, se il dominio che ospiterà la tua app non è elencato nella sezione dei domini di reindirizzamento OAuth , aggiungi il tuo dominio.

La quota di richieste di accesso al numero di telefono di Firebase è sufficientemente alta da non influire sulla maggior parte delle app. Tuttavia, se è necessario accedere a un volume molto elevato di utenti con l'autenticazione del telefono, potrebbe essere necessario aggiornare il piano tariffario. Vedi la pagina dei prezzi .

Configura il verificatore reCAPTCHA

Prima di poter accedere agli utenti con i loro numeri di telefono, devi configurare il verificatore reCAPTCHA di Firebase. Firebase utilizza reCAPTCHA per prevenire abusi, ad esempio assicurando che la richiesta di verifica del numero di telefono provenga da uno dei domini consentiti della tua app.

Non è necessario configurare manualmente un client reCAPTCHA; quando utilizzi l'oggetto RecaptchaVerifier di Firebase SDK, Firebase crea e gestisce automaticamente tutte le chiavi e i segreti client necessari.

L'oggetto RecaptchaVerifier supporta reCAPTCHA invisibile , che spesso può verificare l'utente senza richiedere alcuna azione da parte dell'utente, nonché il widget reCAPTCHA, che richiede sempre l'interazione dell'utente per essere completato correttamente.

Il reCAPTCHA sottoposto a rendering può essere localizzato in base alle preferenze dell'utente aggiornando il codice della lingua sull'istanza Auth prima di eseguire il rendering del reCAPTCHA. La suddetta localizzazione si applicherà anche al messaggio SMS inviato all'utente, contenente il codice di verifica.

Versione web 9

import { getAuth } from "firebase/auth";

const auth = getAuth();
auth.languageCode = 'it';
// To apply the default browser preference instead of explicitly setting it.
// firebase.auth().useDeviceLanguage();

Versione web 8

firebase.auth().languageCode = 'it';
// To apply the default browser preference instead of explicitly setting it.
// firebase.auth().useDeviceLanguage();

Usa reCAPTCHA invisibile

Per utilizzare un reCAPTCHA invisibile, crea un oggetto RecaptchaVerifier con il parametro size impostato su invisible , specificando l'ID del pulsante che invia il modulo di accesso. Per esempio:

Versione web 9

import { getAuth, RecaptchaVerifier } from "firebase/auth";

const auth = getAuth();
window.recaptchaVerifier = new RecaptchaVerifier('sign-in-button', {
  'size': 'invisible',
  'callback': (response) => {
    // reCAPTCHA solved, allow signInWithPhoneNumber.
    onSignInSubmit();
  }
}, auth);

Versione web 8

window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('sign-in-button', {
  'size': 'invisible',
  'callback': (response) => {
    // reCAPTCHA solved, allow signInWithPhoneNumber.
    onSignInSubmit();
  }
});

Usa il widget reCAPTCHA

Per utilizzare il widget reCAPTCHA visibile, crea un elemento nella tua pagina per contenere il widget, quindi crea un oggetto RecaptchaVerifier , specificando l'ID del contenitore quando lo fai. Per esempio:

Versione web 9

import { getAuth, RecaptchaVerifier } from "firebase/auth";

const auth = getAuth();
window.recaptchaVerifier = new RecaptchaVerifier('recaptcha-container', {}, auth);

Versione web 8

window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container');

Facoltativo: specificare i parametri reCAPTCHA

È possibile impostare facoltativamente funzioni di callback sull'oggetto RecaptchaVerifier che vengono chiamate quando l'utente risolve il reCAPTCHA o il reCAPTCHA scade prima che l'utente invii il modulo:

Versione web 9

import { getAuth, RecaptchaVerifier } from "firebase/auth";

const auth = getAuth();
window.recaptchaVerifier = new RecaptchaVerifier('recaptcha-container', {
  'size': 'normal',
  'callback': (response) => {
    // reCAPTCHA solved, allow signInWithPhoneNumber.
    // ...
  },
  'expired-callback': () => {
    // Response expired. Ask user to solve reCAPTCHA again.
    // ...
  }
}, auth);

Versione web 8

window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container', {
  'size': 'normal',
  'callback': (response) => {
    // reCAPTCHA solved, allow signInWithPhoneNumber.
    // ...
  },
  'expired-callback': () => {
    // Response expired. Ask user to solve reCAPTCHA again.
    // ...
  }
});

Opzionale: pre-renderizzare il reCAPTCHA

Se desideri eseguire il pre-rendering di reCAPTCHA prima di inviare una richiesta di accesso, chiama render :

Versione web 9

recaptchaVerifier.render().then((widgetId) => {
  window.recaptchaWidgetId = widgetId;
});

Versione web 8

recaptchaVerifier.render().then((widgetId) => {
  window.recaptchaWidgetId = widgetId;
});

Dopo che il render si risolve, ottieni l'ID del widget di reCAPTCHA, che puoi utilizzare per effettuare chiamate all'API reCAPTCHA :

Versione web 9

const recaptchaResponse = grecaptcha.getResponse(recaptchaWidgetId);

Versione web 8

const recaptchaResponse = grecaptcha.getResponse(recaptchaWidgetId);

Invia un codice di verifica al telefono dell'utente

Per avviare l'accesso con il numero di telefono, presenta all'utente un'interfaccia che richiede loro di fornire il proprio numero di telefono, quindi chiama signInWithPhoneNumber per richiedere a Firebase di inviare un codice di autenticazione al telefono dell'utente tramite SMS:

  1. Ottieni il numero di telefono dell'utente.

    I requisiti legali variano, ma come procedura consigliata e per definire le aspettative per i tuoi utenti, dovresti informarli che se utilizzano l'accesso tramite telefono, potrebbero ricevere un messaggio SMS per la verifica e applicare tariffe standard.

  2. Chiama signInWithPhoneNumber , passandogli il numero di telefono dell'utente e il RecaptchaVerifier che hai creato in precedenza.

    Versione web 9

    import { getAuth, signInWithPhoneNumber } from "firebase/auth";
    
    const phoneNumber = getPhoneNumberFromUserInput();
    const appVerifier = window.recaptchaVerifier;
    
    const auth = getAuth();
    signInWithPhoneNumber(auth, phoneNumber, appVerifier)
        .then((confirmationResult) => {
          // SMS sent. Prompt user to type the code from the message, then sign the
          // user in with confirmationResult.confirm(code).
          window.confirmationResult = confirmationResult;
          // ...
        }).catch((error) => {
          // Error; SMS not sent
          // ...
        });

    Versione web 8

    const phoneNumber = getPhoneNumberFromUserInput();
    const appVerifier = window.recaptchaVerifier;
    firebase.auth().signInWithPhoneNumber(phoneNumber, appVerifier)
        .then((confirmationResult) => {
          // SMS sent. Prompt user to type the code from the message, then sign the
          // user in with confirmationResult.confirm(code).
          window.confirmationResult = confirmationResult;
          // ...
        }).catch((error) => {
          // Error; SMS not sent
          // ...
        });
    Se signInWithPhoneNumber genera un errore, reimposta reCAPTCHA in modo che l'utente possa riprovare:
    grecaptcha.reset(window.recaptchaWidgetId);
    
    // Or, if you haven't stored the widget ID:
    window.recaptchaVerifier.render().then(function(widgetId) {
      grecaptcha.reset(widgetId);
    }
    

Il metodo signInWithPhoneNumber la sfida reCAPTCHA all'utente e, se l'utente supera la sfida, richiede che l'autenticazione Firebase invii un messaggio SMS contenente un codice di verifica al telefono dell'utente.

Accedi l'utente con il codice di verifica

Dopo che la chiamata a signInWithPhoneNumber positivo, chiedi all'utente di digitare il codice di verifica ricevuto tramite SMS. Quindi, accedi all'utente passando il codice al metodo di confirm dell'oggetto ConfirmationResult che è stato passato al gestore di adempimento signInWithPhoneNumber (ovvero, il suo blocco then ). Per esempio:

Versione web 9

const code = getCodeFromUserInput();
confirmationResult.confirm(code).then((result) => {
  // User signed in successfully.
  const user = result.user;
  // ...
}).catch((error) => {
  // User couldn't sign in (bad verification code?)
  // ...
});

Versione web 8

const code = getCodeFromUserInput();
confirmationResult.confirm(code).then((result) => {
  // User signed in successfully.
  const user = result.user;
  // ...
}).catch((error) => {
  // User couldn't sign in (bad verification code?)
  // ...
});

Se la chiamata di confirm è riuscita, l'accesso dell'utente è riuscito.

Ottieni l'oggetto AuthCredential intermedio

Se devi ottenere un oggetto AuthCredential per l'account dell'utente, passa il codice di verifica dal risultato della conferma e il codice di verifica a PhoneAuthProvider.credential invece di chiamare confirm :

var credential = firebase.auth.PhoneAuthProvider.credential(confirmationResult.verificationId, code);

Quindi, puoi accedere all'utente con le credenziali:

firebase.auth().signInWithCredential(credential);

Prova con numeri di telefono fittizi

Puoi impostare numeri di telefono fittizi per lo sviluppo tramite la console Firebase. Il test con numeri di telefono fittizi offre questi vantaggi:

  • Verifica l'autenticazione del numero di telefono senza consumare la tua quota di utilizzo.
  • Verifica l'autenticazione del numero di telefono senza inviare un messaggio SMS effettivo.
  • Esegui test consecutivi con lo stesso numero di telefono senza subire limitazioni. Ciò riduce al minimo il rischio di rifiuto durante il processo di revisione dell'App Store se il revisore utilizza lo stesso numero di telefono per il test.
  • Prova prontamente in ambienti di sviluppo senza alcuno sforzo aggiuntivo, come la possibilità di sviluppare in un simulatore iOS o un emulatore Android senza Google Play Services.
  • Scrivi test di integrazione senza essere bloccato dai controlli di sicurezza normalmente applicati su numeri di telefono reali in un ambiente di produzione.

I numeri di telefono fittizi devono soddisfare questi requisiti:

  1. Assicurati di utilizzare numeri di telefono che sono effettivamente fittizi e non esistono già. L'autenticazione Firebase non consente di impostare numeri di telefono esistenti utilizzati da utenti reali come numeri di prova. Un'opzione consiste nell'utilizzare 555 numeri con prefisso come numeri di telefono di prova negli Stati Uniti, ad esempio: +1 650-555-3434
  2. I numeri di telefono devono essere formattati correttamente per la lunghezza e altri vincoli. Subiranno comunque la stessa convalida del numero di telefono di un utente reale.
  3. Puoi aggiungere fino a 10 numeri di telefono per lo sviluppo.
  4. Usa numeri di telefono/codici di prova difficili da indovinare e cambiali frequentemente.

Crea numeri di telefono fittizi e codici di verifica

  1. Nella console Firebase , apri la sezione Autenticazione .
  2. Nella scheda Metodo di accesso, abilita il provider di telefonia se non l'hai già fatto.
  3. Apri il menu Numeri di telefono per testare la fisarmonica.
  4. Fornisci il numero di telefono che desideri testare, ad esempio: +1 650-555-3434 .
  5. Fornisci il codice di verifica a 6 cifre per quel numero specifico, ad esempio: 654321 .
  6. Aggiungi il numero. Se è necessario, puoi eliminare il numero di telefono e il relativo codice passando il mouse sulla riga corrispondente e facendo clic sull'icona del cestino.

Test manuali

Puoi iniziare direttamente a utilizzare un numero di telefono fittizio nella tua applicazione. Ciò consente di eseguire test manuali durante le fasi di sviluppo senza incorrere in problemi di quota o limitazione. Puoi anche testare direttamente da un simulatore iOS o un emulatore Android senza Google Play Services installato.

Quando fornisci il numero di telefono fittizio e invii il codice di verifica, non viene inviato alcun SMS effettivo. Invece, devi fornire il codice di verifica configurato in precedenza per completare l'accesso.

Al termine dell'accesso, viene creato un utente Firebase con quel numero di telefono. L'utente ha lo stesso comportamento e le stesse proprietà di un utente con numero di telefono reale e può accedere al database in tempo reale/Cloud Firestore e ad altri servizi allo stesso modo. Il token ID coniato durante questo processo ha la stessa firma di un utente con numero di telefono reale.

Un'altra opzione consiste nell'impostare un ruolo di test tramite attestazioni personalizzate su questi utenti per differenziarli come utenti falsi se si desidera limitare ulteriormente l'accesso.

Test d'integrazione

Oltre ai test manuali, Firebase Authentication fornisce API per aiutare a scrivere test di integrazione per i test di autenticazione del telefono. Queste API disabilitano la verifica dell'app disabilitando il requisito reCAPTCHA nel Web e le notifiche push silenziose in iOS. Ciò rende possibile il test di automazione in questi flussi e più facile da implementare. Inoltre, aiutano a fornire la possibilità di testare i flussi di verifica istantanea su Android.

Sul Web, imposta appVerificationDisabledForTesting su true prima di eseguire il rendering di firebase.auth.RecaptchaVerifier . Questo risolve automaticamente il reCAPTCHA, permettendoti di passare il numero di telefono senza risolverlo manualmente. Tieni presente che, anche se reCAPTCHA è disabilitato, l'utilizzo di un numero di telefono non di fantasia non riuscirà comunque a completare l'accesso. Con questa API è possibile utilizzare solo numeri di telefono di fantasia.

// Turn off phone auth app verification.
firebase.auth().settings.appVerificationDisabledForTesting = true;

var phoneNumber = "+16505554567";
var testVerificationCode = "123456";

// This will render a fake reCAPTCHA as appVerificationDisabledForTesting is true.
// This will resolve after rendering without app verification.
var appVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container');
// signInWithPhoneNumber will call appVerifier.verify() which will resolve with a fake
// reCAPTCHA response.
firebase.auth().signInWithPhoneNumber(phoneNumber, appVerifier)
    .then(function (confirmationResult) {
      // confirmationResult can resolve with the fictional testVerificationCode above.
      return confirmationResult.confirm(testVerificationCode)
    }).catch(function (error) {
      // Error; SMS not sent
      // ...
    });

I verificatori di app reCAPTCHA fittizi visibili e invisibili si comportano in modo diverso quando la verifica dell'app è disabilitata:

  • Visible reCAPTCHA : quando il reCAPTCHA visibile viene visualizzato tramite appVerifier.render() , si risolve automaticamente dopo una frazione di secondo di ritardo. Ciò equivale a un utente che fa clic su reCAPTCHA immediatamente dopo il rendering. La risposta reCAPTCHA scadrà dopo qualche tempo e quindi si risolverà di nuovo automaticamente.
  • ReCAPTCHA invisibile : reCAPTCHA invisibile non si risolve automaticamente durante il rendering e lo fa invece alla chiamata appVerifier.verify() o quando si fa clic sull'ancora del pulsante di reCAPTCHA dopo una frazione di secondo di ritardo. Allo stesso modo, la risposta scadrà dopo un po' di tempo e si risolverà automaticamente solo dopo la chiamata appVerifier.verify() o quando si fa nuovamente clic sull'ancora del pulsante di reCAPTCHA.

Ogni volta che viene risolto un reCAPTCHA fittizio, la funzione di callback corrispondente viene attivata come previsto con la risposta falsa. Se viene specificata anche una callback di scadenza, si attiverà alla scadenza.

Prossimi passi

Dopo che un utente accede per la prima volta, un nuovo account utente viene creato e collegato alle credenziali, ovvero il nome utente e la password, il numero di telefono o le informazioni sul provider di autenticazione, con cui l'utente ha effettuato l'accesso. Questo nuovo account viene archiviato come parte del tuo progetto Firebase e può essere utilizzato per identificare un utente in ogni app del tuo progetto, indipendentemente da come l'utente effettua l'accesso.

  • Nelle tue app, il modo consigliato per conoscere lo stato di autenticazione del tuo utente è impostare un osservatore sull'oggetto Auth . È quindi possibile ottenere le informazioni sul profilo di base User dall'oggetto Utente. Vedere Gestisci utenti .

  • Nelle regole di sicurezza del database in tempo reale e dell'archiviazione cloud di Firebase, puoi ottenere l'ID utente univoco dell'utente che ha eseguito l'accesso dalla variabile auth e utilizzarlo per controllare a quali dati può accedere un utente.

Puoi consentire agli utenti di accedere alla tua app utilizzando più provider di autenticazione collegando le credenziali del provider di autenticazione a un account utente esistente.

Per disconnettere un utente, chiama signOut :

Versione web 9

import { getAuth, signOut } from "firebase/auth";

const auth = getAuth();
signOut(auth).then(() => {
  // Sign-out successful.
}).catch((error) => {
  // An error happened.
});

Versione web 8

firebase.auth().signOut().then(() => {
  // Sign-out successful.
}).catch((error) => {
  // An error happened.
});