SMS-Regionen verwenden, um deine App vor SMS-Missbrauch zu schützen
In diesem Leitfaden erfahren Sie, wie Sie mit SMS-Regionen die Nutzung der SMS-Überprüfung von Identity Platform einschränken und Nutzungsmesswerte aufrufen können.
Übersicht über SMS-Regionen
SMS-Regionen sind ein Feature der Identity Platform, mit dem Sie Ihre Anwendungen vor SMS-Missbrauch schützen können.
SMS-Missbrauch tritt normalerweise auf, wenn ein Dienst durch einen böswilligen Akteur dazu verleitet, SMS über einen Mobilfunkanbieter zu senden, mit dem er eine Vereinbarung zur Umsatzbeteiligung getroffen hat. SMS-Missbrauch kann zu höheren Kosten führen und dem Ruf Ihres Produkts bei Kunden schaden.
Da Identity Platform SMS-Telefonautorisierungen zulässt, kann es zu SMS-Missbrauch kommen.
Mit der Funktion für SMS-Regionen können Sie festlegen, in welchen Regionen SMS-Telefonautorisierungen empfangen werden können.
Das Feature bietet Folgendes:
- Eine Firebase Console-Oberfläche zum Einrichten Ihrer SMS-Regionsrichtlinie
- Eine API zum Einrichten Ihrer SMS-Regionsrichtlinie.
- Messwerte, auf deren Grundlage Sie entscheiden können, eine SMS-Regionsrichtlinie zu verwenden.
Regionsrichtlinie festlegen
In diesem Abschnitt wird eine Regionsrichtlinie für Identity Platform beschrieben. Sie können die folgenden Richtlinientypen einrichten, wobei nur eine aktiv sein kann:
- Nur auf die Zulassungsliste setzen: Nur die Regionen, die Sie auf der Zulassungsliste angeben, können Anfragen zur Telefonautorisierung erhalten.
- Nur Sperrliste: Anfragen zur Autorisierung von Smartphones können in allen Regionen empfangen werden, mit Ausnahme der Anfragen, die Sie in der Sperrliste festgelegt haben.
Nachdem Sie die Konfiguration geändert haben, beginnt das System sofort, die Richtlinie zu erzwingen. Sie blockiert Smartphone-Autorisierungsanfragen aus Regionen, die in der Richtlinie nicht zugelassen sind, basierend auf dem Regionscode der Telefonnummer.
Richtlinie nur für die Zulassungsliste
So richten Sie eine Nur-Zulassungs-Richtlinie ein:
Firebase Console
Rufen Sie in der Firebase Console die Seite Firebase Auth-Einstellungen auf.
Zu den Firebase Auth-Einstellungen
Wählen Sie im Navigationsbereich Richtlinie für SMS-Regionen aus.
Wählen Sie Zulassen aus.
Klicken Sie auf Regionen auswählen.
Fügen Sie nur Regionen hinzu, an die SMS gesendet werden sollen. Regionen, die nicht auf der Liste stehen, werden blockiert.
Klicken Sie auf Speichern.
Sie können entweder eine Zulassungsliste oder eine Sperrliste konfigurieren, aber nicht beides. Dadurch werden alle vorherigen Konfigurationen überschrieben.
Identity Toolkit API
Führen Sie in der Google Cloud Console den folgenden Befehl aus, um ein Zugriffstoken für Ihr Projekt zu drucken:
gcloud auth print-access-token --project=PROJECT_IDAktualisieren Sie Ihre Projektkonfiguration, um die neue Richtlinie mithilfe der Identity Toolkit API aufzunehmen:
curl -X PATCH -d "{'sms_region_config':{'allowlist_only':{'allowed_regions':['REGION_LIST']}}}" \ -H 'Authorization: BearerACCESS_TOKEN' \ -H 'Content-Type: application/json' \ 'https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=sms_region_config'
Ersetzen Sie Folgendes:
ACCESS_TOKEN: das Zugriffstoken, das Sie zuvor generiert haben.REGION_LIST: eine oder mehrere Regionen, z. B.INoderUS.PROJECT_ID: Ihre Projekt-ID.
Sie müssen eine Aktualisierungsmaske angeben, um zu verhindern, dass andere Felder geändert werden.
Nur-Sperrliste
So richten Sie eine Nur-Sperrliste ein:
Firebase Console
Rufen Sie in der Firebase Console die Seite Firebase-Authentifizierungseinstellungen auf und wählen Sie im Navigationsbereich Richtlinie für SMS-Regionen aus.
Zu den Firebase Auth-Einstellungen
Wählen Sie Ablehnen aus.
Klicken Sie auf Regionen auswählen.
Fügen Sie alle Regionen hinzu, in denen Sie das Senden von SMS blockieren möchten. Regionen, die nicht auf der Liste stehen, werden zugelassen.
Klicken Sie auf Speichern.
Sie können entweder eine Zulassungsliste oder eine Sperrliste konfigurieren, aber nicht beides. Dadurch werden alle vorherigen Konfigurationen überschrieben.
Identity Toolkit API
Führen Sie in der Google Cloud Console den folgenden Befehl aus, um ein Zugriffstoken für Ihr Projekt zu drucken:
gcloud auth print-access-token --project=PROJECT_IDAktualisieren Sie Ihre Projektkonfiguration, um die neue Richtlinie mithilfe der Identity Toolkit API aufzunehmen:
curl -X PATCH -d "{'sms_region_config':{'denylist_only':{'disallowed_regions':['REGION_LIST']}}}" \ -H 'Authorization: BearerACCESS_TOKEN' \ -H 'Content-Type: application/json' \ 'https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=sms_region_config'
Ersetzen Sie Folgendes:
ACCESS_TOKEN: das Zugriffstoken, das Sie zuvor generiert haben.REGION_LIST: eine oder mehrere Regionen, z. B.INoderUS.PROJECT_ID: Ihre Projekt-ID.
Sie müssen eine Aktualisierungsmaske angeben, um zu verhindern, dass andere Felder geändert werden.
Auf regionale SMS-Nutzungsmesswerte zugreifen
In diesem Abschnitt wird beschrieben, wie Sie Messwerte zur SMS-Nutzung aufrufen.
So rufen Sie die Messwerte auf:
Rufen Sie in der Google Cloud Console in Cloud Monitoring die Seite Metrics Explorer auf:
Wählen Sie die folgenden Felder aus:
- IdentityToolkit.googleapis.com/usage/sent_sms_count
- IdentityToolkit.googleapis.com/usage/blocked_sms_count und
- firebaseauth.googleapis.com/phone_auth/phone_verification_count.
Die Messwerte haben das Feld „region_code“. Mit diesem Code rufen Sie die Regionen auf, die SMS-Autorisierungen erhalten.
Berechnen Sie die Erfolgsquote der Überprüfung in einer bestimmten Region als
verification_success_rate = phone_verification_count/sent_sms_count. In der Regel werden Erfolgsquoten von über 75% als akzeptabel angesehen.
Ein niedriger verification_success_rate kann auf Missbrauch hinweisen, insbesondere in einer Region, in der normalerweise keine Nutzer zu erwarten wären. In der Regel gelten die Erfolgsquoten bei der Verifizierung unter 75 % als niedrig.
Wenn Sie den Verdacht haben, dass SMS missbräuchlich verwendet werden, können Sie eine Regionsrichtlinie festlegen.