Valider les jetons Firebase PNV

Lorsque la bibliothèque Firebase PNV valide le numéro de téléphone d'un appareil, elle renvoie le numéro de téléphone validé et un jeton signé le contenant. Si vous utilisez le numéro de téléphone validé en dehors du client de l'application, vous devez transmettre le jeton au lieu du numéro de téléphone lui-même afin de pouvoir vérifier son intégrité lorsque vous l'utilisez. Pour valider le jeton, vous pouvez utiliser n'importe quelle bibliothèque de validation JWT. Utilisez la bibliothèque pour vérifier tous les éléments suivants :

  • L'en-tête typ est défini sur JWT.

  • Le jeton est signé à l'aide de l'une des clés publiées au point de terminaison JWKS Firebase PNV avec l'algorithme ES256 :

    https://fpnv.googleapis.com/v1beta/jwks

  • Les revendications de l'émetteur contiennent le numéro de votre projet Firebase et sont au format suivant :

    https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_NUMBER

    Vous trouverez le numéro de votre projet Firebase sur la page Paramètres du projet de la console Firebase.

  • La revendication d'audience est une liste qui contient le numéro et l'ID de votre projet Firebase. Elle se présente au format suivant :

    [
  https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_NUMBER,
  https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_ID,
]

  • Le jeton n'a pas expiré.

Exemple

À titre d'exemple, l'application Express.js suivante reçoit un jeton Firebase PNV à partir d'une requête HTTP POST et utilise une bibliothèque de validation JWT pour vérifier la signature et les revendications du jeton :

Node.js

import express from "express";
import { JwtVerifier } from "aws-jwt-verify";

// Find your Firebase project number in the Firebase console.
const FIREBASE_PROJECT_NUMBER = "123456789";

// The issuer and audience claims of the FPNV token are specific to your
// project.
const issuer = `https://fpnv.googleapis.com/projects/${FIREBASE_PROJECT_NUMBER}`;
const audience = `https://fpnv.googleapis.com/projects/${FIREBASE_PROJECT_NUMBER}`;

// The JWKS URL contains the current public signing keys for FPNV tokens.
const jwksUri = "https://fpnv.googleapis.com/v1beta/jwks";

// Configure a JWT verifier to check the following:
// - The token is signed by Google
// - The issuer and audience claims match your project
// - The token has not yet expired (default behavior)
const fpnvVerifier = JwtVerifier.create({ issuer, audience, jwksUri });

const app = express();

app.post('/verifiedPhoneNumber', async (req, res) => {
    if (!req.body) return res.sendStatus(400);
    // Get the token from the body of the request.
    const fpnvToken = req.body;
    try {
        // Attempt to verify the token using the verifier configured
        previously.
        const verifiedPayload = await fpnvVerifier.verify(fpnvToken);

        // If verification succeeds, the subject claim of the token contains the
        // verified phone number. You can use this value however it's needed by
        // your app.
        const verifiedPhoneNumber = verifiedPayload.sub;
        // (Do something with it...)

        return res.sendStatus(200);
    } catch {
        // If verification fails, reject the token.
        return res.sendStatus(400);
    }
});

app.listen(3000);