Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Utiliser les régions SMS pour protéger votre appli contre les abus

Ce guide vous explique comment utiliser les régions SMS pour limiter l'utilisation de la validation SMS d'Identity Platform et afficher les métriques d'utilisation.

Présentation des régions SMS

Les régions SMS sont une fonctionnalité Identity Platform que vous pouvez utiliser pour protéger vos applications contre les abus par SMS.

L'utilisation abusive des SMS se produit généralement lorsqu'un acteur malveillant incite un service à envoyer des SMS via un opérateur avec lequel il a conclu un accord de partage des revenus. L'utilisation abusive des SMS peut entraîner une augmentation des coûts et nuire à la réputation de votre produit auprès des clients.

Identity Platform autorise les SMS sur téléphone, ce qui peut entraîner une utilisation abusive des SMS.

La fonctionnalité de régions SMS vous permet de définir les régions qui peuvent recevoir des autorisations par téléphone.

Cette fonctionnalité offre les avantages suivants:

  • Une API simple pour configurer votre règle de région SMS.
  • Métriques qui peuvent vous aider à choisir une règle pour la région "SMS".

Définir une règle régionale

Cette section décrit une règle de région Identity Platform. Vous pouvez configurer les types de règles suivants:

  • Liste d'autorisation uniquement : seules les régions que vous spécifiez dans une liste d'autorisation peuvent recevoir des requêtes d'autorisation téléphonique.
  • Autoriser par défaut:toutes les régions, à l'exception de celles que vous spécifiez, peuvent recevoir des requêtes d'autorisation téléphonique.

Une fois la configuration modifiée, le système commence immédiatement à appliquer la règle. Elle bloque les requêtes d'autorisation téléphonique provenant des régions refusées par la règle en fonction du code régional du numéro de téléphone.

Règle d'autorisation uniquement

Pour configurer une règle réservée à la liste d'autorisation, procédez comme suit:

  1. Dans Google Cloud Console, imprimez un jeton d'accès pour votre projet:

    gcloud auth print-access-token --project=PROJECT_ID
    
  2. Mettez à jour la configuration de votre projet pour inclure votre nouvelle règle à l'aide de l'API Identity Toolkit :

    curl -X PATCH -d "{'sms_region_config':{'allowlist_only':{'allowed_regions':['REGION_LIST']}}}" \
    -H 'Authorization: Bearer ACCESS_TOKEN' \
    -H 'Content-Type: application/json' \
    'https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=sms_region_config'
    

Remplacez les éléments suivants :

  • ACCESS_TOKEN : jeton d'accès que vous avez généré précédemment.
  • REGION_LIST: une ou plusieurs régions, par exemple IN ou US.
  • PROJECT_ID : ID de votre projet.

Règle par défaut

Pour configurer une règle d'autorisation par défaut:

  1. Dans Google Cloud Console, imprimez un jeton d'accès pour votre projet:

    gcloud auth print-access-token --project=PROJECT_ID
    
  2. Mettez à jour la configuration de votre projet pour inclure votre nouvelle règle à l'aide de l'API Identity Toolkit:

    curl -X PATCH -d "{'sms_region_config':{'allow_by_default':{'disallowed_regions':['REGION_LIST']}}}" \
    -H 'Authorization: Bearer ACCESS_TOKEN' \
    -H 'Content-Type: application/json' \
    'https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=sms_region_config'
    

Remplacez les éléments suivants :

  • ACCESS_TOKEN : jeton d'accès que vous avez généré précédemment.
  • REGION_LIST : une ou plusieurs régions, par exemple IN ou US.
  • PROJECT_ID : ID de votre projet.

Accéder aux métriques d'utilisation des SMS régionaux

Cette section explique comment afficher les métriques d'utilisation des SMS.

Pour afficher les métriques, procédez comme suit:

  1. Dans Cloud Console, accédez à la page Explorateur de métriques de Cloud Monitoring:

    Accédez à Cloud Monitoring.

  2. Sélectionnez les champs suivants:

    • Identitytoolbox.googleapis.com/usage/sent_sms_count
    • Identitytoolbox.googleapis.com/usage/blocked_sms_count, et
    • (firebaseauth.googleapis.com/phone_auth/phone_verification_count).

    Notez que les métriques comportent un champ "region_code". Ce code vous permet d'afficher les régions qui reçoivent des autorisations par SMS.

  3. Calculez le taux de réussite de la validation en fonction de verification_success_rate = phone_verification_count/sent_sms_count, dans une région particulière. En général, les taux de réussite supérieurs à 75% sont considérés comme acceptables.

Une valeur faible pour verification_success_rate peut indiquer un abus, en particulier dans une région où vous ne vous attendez pas à avoir des utilisateurs. Les taux de réussite de la validation inférieurs à 75 % sont généralement considérés comme faibles.

Si vous suspectez une utilisation abusive des SMS, vous pouvez définir des règles régionales.