Añadir autenticación multifactor a una aplicación Android

En este documento se explica cómo añadir la autenticación multifactor por SMS a una aplicación Android.

La autenticación multifactor aumenta la seguridad de tu aplicación. Aunque los atacantes suelen vulnerar las contraseñas y las cuentas de redes sociales, interceptar mensajes de texto resulta más difícil.

Antes de empezar

1. Habilita al menos un proveedor que admita la autenticación multifactor. Todos los proveedores admiten la MFA, excepto la autenticación por teléfono, la autenticación anónima y Game Center de Apple.

2. Asegúrate de que tu aplicación verifica los correos de los usuarios. La MFA requiere verificación por correo electrónico. De esta forma, se impide que agentes malintencionados se registren en un servicio con un correo que no les pertenece y, a continuación, bloqueen al propietario real añadiendo un segundo factor.

3. Registre el hash SHA-1 de su aplicación en la consola de Firebase (los cambios se aplicarán automáticamente a Google Cloud Identity Platform).

   1. Sigue los pasos que se indican en Autenticar tu cliente para obtener el hash SHA-1 de tu aplicación.

   2. Abre la consola de Firebase.

   3. Ve a Configuración del proyecto.

   4. En Tus aplicaciones, haz clic en el icono de Android.

   5. Sigue los pasos para añadir tu hash SHA-1.

Habilitar la autenticación multifactor

1. Ve a la página MFA de Identity Platform en la Google Cloud consola.
   Ir a MFA
   

2. En Autenticación multifactor, haz clic en Habilitar.

3. Introduce los números de teléfono con los que vas a probar tu aplicación. Aunque es opcional, te recomendamos que registres números de teléfono de prueba para evitar la limitación durante el desarrollo.

4. Si aún no has autorizado el dominio de tu aplicación, añádelo a la lista de permitidos haciendo clic en Añadir dominio.

5. Haz clic en Guardar.

Elegir un patrón de registro

Puedes elegir si tu aplicación requiere la autenticación multifactor y cómo y cuándo registrar a tus usuarios. Estos son algunos de los patrones habituales:

• Registra el segundo factor del usuario durante el registro. Usa este método si tu aplicación requiere la autenticación multifactor para todos los usuarios.

• Ofrece una opción para omitir el registro de un segundo factor durante el registro. Las aplicaciones que quieran recomendar la autenticación multifactor, pero no exigirla, pueden preferir este método.

• Ofrecer la posibilidad de añadir un segundo factor desde la página de gestión de la cuenta o el perfil del usuario, en lugar de desde la pantalla de registro. De esta forma, se minimizan las fricciones durante el proceso de registro y, al mismo tiempo, se ofrece la autenticación multifactor a los usuarios que se preocupan por la seguridad.

• Exigir que se añada un segundo factor de forma gradual cuando el usuario quiera acceder a funciones con requisitos de seguridad más estrictos.

Registrar un segundo factor

Para registrar un nuevo factor secundario para un usuario, sigue estos pasos:

1. Vuelve a autenticar al usuario.

2. Pide al usuario que introduzca su número de teléfono.

3. Obtener una sesión multifactor para el usuario:

   Kotlin+KTX

   user.multiFactor.session.addOnCompleteListener { task ->
       if (task.isSuccessful) {
           val multiFactorSession: MultiFactorSession? = task.result
       }
   }
   

   Java

   user.getMultiFactor().getSession()
     .addOnCompleteListener(
         new OnCompleteListener<MultiFactorSession>() {
         @Override
         public void onComplete(@NonNull Task<MultiFactorSession> task) {
           if (task.isSuccessful()) {
             MultiFactorSession multiFactorSession = task.getResult();
           }
         }
         });
   

4. Crea un objeto OnVerificationStateChangedCallbacks para gestionar los diferentes eventos del proceso de verificación:

   Kotlin+KTX

   val callbacks = object : OnVerificationStateChangedCallbacks() {
       override fun onVerificationCompleted(credential: PhoneAuthCredential) {
           // This callback will be invoked in two situations:
           // 1) Instant verification. In some cases, the phone number can be
           //    instantly verified without needing to send or enter a verification
           //    code. You can disable this feature by calling
           //    PhoneAuthOptions.builder#requireSmsValidation(true) when building
           //    the options to pass to PhoneAuthProvider#verifyPhoneNumber().
           // 2) Auto-retrieval. On some devices, Google Play services can
           //    automatically detect the incoming verification SMS and perform
           //    verification without user action.
           this@MainActivity.credential = credential
       }
   
       override fun onVerificationFailed(e: FirebaseException) {
           // This callback is invoked in response to invalid requests for
           // verification, like an incorrect phone number.
           if (e is FirebaseAuthInvalidCredentialsException) {
               // Invalid request
               // ...
           } else if (e is FirebaseTooManyRequestsException) {
               // The SMS quota for the project has been exceeded
               // ...
           }
           // Show a message and update the UI
           // ...
       }
   
       override fun onCodeSent(
           verificationId: String, forceResendingToken: ForceResendingToken
       ) {
           // The SMS verification code has been sent to the provided phone number.
           // We now need to ask the user to enter the code and then construct a
           // credential by combining the code with a verification ID.
           // Save the verification ID and resending token for later use.
           this@MainActivity.verificationId = verificationId
           this@MainActivity.forceResendingToken = forceResendingToken
           // ...
       }
   }
   

   Java

   OnVerificationStateChangedCallbacks callbacks =
   new OnVerificationStateChangedCallbacks() {
     @Override
     public void onVerificationCompleted(PhoneAuthCredential credential) {
       // This callback will be invoked in two situations:
       // 1) Instant verification. In some cases, the phone number can be
       //    instantly verified without needing to send or enter a verification
       //    code. You can disable this feature by calling
       //    PhoneAuthOptions.builder#requireSmsValidation(true) when building
       //    the options to pass to PhoneAuthProvider#verifyPhoneNumber().
       // 2) Auto-retrieval. On some devices, Google Play services can
       //    automatically detect the incoming verification SMS and perform
       //    verification without user action.
       this.credential = credential;
     }
     @Override
     public void onVerificationFailed(FirebaseException e) {
       // This callback is invoked in response to invalid requests for
       // verification, like an incorrect phone number.
       if (e instanceof FirebaseAuthInvalidCredentialsException) {
       // Invalid request
       // ...
       } else if (e instanceof FirebaseTooManyRequestsException) {
       // The SMS quota for the project has been exceeded
       // ...
       }
       // Show a message and update the UI
       // ...
     }
     @Override
     public void onCodeSent(
       String verificationId, PhoneAuthProvider.ForceResendingToken token) {
       // The SMS verification code has been sent to the provided phone number.
       // We now need to ask the user to enter the code and then construct a
       // credential by combining the code with a verification ID.
       // Save the verification ID and resending token for later use.
       this.verificationId = verificationId;
       this.forceResendingToken = token;
       // ...
     }
   };
   

5. Inicializa un objeto PhoneInfoOptions con el número de teléfono del usuario, la sesión multifactor y tus retrollamadas:

   Kotlin+KTX

   val phoneAuthOptions = PhoneAuthOptions.newBuilder()
       .setPhoneNumber(phoneNumber)
       .setTimeout(30L, TimeUnit.SECONDS)
       .setMultiFactorSession(MultiFactorSession)
       .setCallbacks(callbacks)
       .build()
   

   Java

   PhoneAuthOptions phoneAuthOptions =
     PhoneAuthOptions.newBuilder()
         .setPhoneNumber(phoneNumber)
         .setTimeout(30L, TimeUnit.SECONDS)
         .setMultiFactorSession(multiFactorSession)
         .setCallbacks(callbacks)
         .build();
   

   La verificación instantánea está habilitada de forma predeterminada. Para inhabilitarlo, añade una llamada a requireSmsValidation(true).

6. Envía un mensaje de verificación al teléfono del usuario:

   Kotlin+KTX

   PhoneAuthProvider.verifyPhoneNumber(phoneAuthOptions)
   

   Java

   PhoneAuthProvider.verifyPhoneNumber(phoneAuthOptions);
   

   Aunque no es obligatorio, se recomienda informar a los usuarios de que van a recibir un mensaje SMS y de que se aplican tarifas estándar.

7. Una vez que se haya enviado el código por SMS, pide al usuario que lo verifique:

   Kotlin+KTX

   // Ask user for the verification code.
   val credential = PhoneAuthProvider.getCredential(verificationId, verificationCode)
   

   Java

   // Ask user for the verification code.
   PhoneAuthCredential credential
     = PhoneAuthProvider.getCredential(verificationId, verificationCode);
   

8. Inicializa un objeto MultiFactorAssertion con PhoneAuthCredential:

   Kotlin+KTX

   val multiFactorAssertion
     = PhoneMultiFactorGenerator.getAssertion(credential)
   

   Java

   MultiFactorAssertion multiFactorAssertion
     = PhoneMultiFactorGenerator.getAssertion(credential);
   

9. Completa el registro. También puedes especificar un nombre visible para el segundo factor. Esto es útil para los usuarios que tienen varios segundos factores, ya que el número de teléfono se oculta durante el flujo de autenticación (por ejemplo, +1******1234).

   Kotlin+KTX

   // Complete enrollment. This will update the underlying tokens
   // and trigger ID token change listener.
   FirebaseAuth.getInstance()
       .currentUser
       ?.multiFactor
       ?.enroll(multiFactorAssertion, "My personal phone number")
       ?.addOnCompleteListener {
           // ...
       }
   

   Java

   // Complete enrollment. This will update the underlying tokens
   // and trigger ID token change listener.
   FirebaseAuth.getInstance()
     .getCurrentUser()
     .getMultiFactor()
     .enroll(multiFactorAssertion, "My personal phone number")
     .addOnCompleteListener(
         new OnCompleteListener<Void>() {
         @Override
         public void onComplete(@NonNull Task<Void> task) {
           // ...
         }
         });
   

El siguiente código muestra un ejemplo completo de cómo registrar un segundo factor:

val multiFactorAssertion = PhoneMultiFactorGenerator.getAssertion(credential)
user.multiFactor.session
    .addOnCompleteListener { task ->
        if (task.isSuccessful) {
            val multiFactorSession = task.result
            val phoneAuthOptions = PhoneAuthOptions.newBuilder()
                .setPhoneNumber(phoneNumber)
                .setTimeout(30L, TimeUnit.SECONDS)
                .setMultiFactorSession(multiFactorSession)
                .setCallbacks(callbacks)
                .build()
            // Send SMS verification code.
            PhoneAuthProvider.verifyPhoneNumber(phoneAuthOptions)
        }
    }

// Ask user for the verification code.
val credential = PhoneAuthProvider.getCredential(verificationId, verificationCode)

val multiFactorAssertion = PhoneMultiFactorGenerator.getAssertion(credential)

// Complete enrollment.
FirebaseAuth.getInstance()
    .currentUser
    ?.multiFactor
    ?.enroll(multiFactorAssertion, "My personal phone number")
    ?.addOnCompleteListener {
        // ...
    }

MultiFactorAssertion multiFactorAssertion = PhoneMultiFactorGenerator.getAssertion(credential);
user.getMultiFactor().getSession()
  .addOnCompleteListener(
      new OnCompleteListener<MultiFactorSession>() {
      @Override
      public void onComplete(@NonNull Task<MultiFactorSession> task) {
        if (task.isSuccessful()) {
          MultiFactorSession multiFactorSession = task.getResult();
          PhoneAuthOptions phoneAuthOptions =
            PhoneAuthOptions.newBuilder()
                .setPhoneNumber(phoneNumber)
                .setTimeout(30L, TimeUnit.SECONDS)
                .setMultiFactorSession(multiFactorSession)
                .setCallbacks(callbacks)
                .build();
          // Send SMS verification code.
          PhoneAuthProvider.verifyPhoneNumber(phoneAuthOptions);
        }
      }
      });

// Ask user for the verification code.
PhoneAuthCredential credential =
  PhoneAuthProvider.getCredential(verificationId, verificationCode);

MultiFactorAssertion multiFactorAssertion = PhoneMultiFactorGenerator.getAssertion(credential);
// Complete enrollment.
FirebaseAuth.getInstance()
  .getCurrentUser()
  .getMultiFactor()
  .enroll(multiFactorAssertion, "My personal phone number")
  .addOnCompleteListener(
      new OnCompleteListener<Void>() {
      @Override
      public void onComplete(@NonNull Task<Void> task) {
        // ...
      }
      });

¡Enhorabuena! Has registrado correctamente un segundo factor de autenticación para un usuario.

Inicio de sesión de usuarios con un segundo factor

Para iniciar la sesión de un usuario con la verificación por SMS de dos factores, sigue estos pasos:

1. Inicia sesión del usuario con su primer factor y, a continuación, detecta la excepción FirebaseAuthMultiFactorException. Este error contiene un resolver, que puedes usar para obtener los segundos factores registrados del usuario. También contiene una sesión subyacente que demuestra que el usuario se ha autenticado correctamente con su primer factor.

   Por ejemplo, si el primer factor del usuario era un correo y una contraseña:

   Kotlin+KTX

   FirebaseAuth.getInstance()
       .signInWithEmailAndPassword(email, password)
       .addOnCompleteListener(
           OnCompleteListener { task ->
               if (task.isSuccessful) {
                   // User is not enrolled with a second factor and is successfully
                   // signed in.
                   // ...
                   return@OnCompleteListener
               }
               if (task.exception is FirebaseAuthMultiFactorException) {
                   // The user is a multi-factor user. Second factor challenge is
                   // required.
                   val multiFactorResolver =
                       (task.exception as FirebaseAuthMultiFactorException).resolver
                   // ...
               } else {
                   // Handle other errors, such as wrong password.
               }
           })
   

   Java

   FirebaseAuth.getInstance()
     .signInWithEmailAndPassword(email, password)
     .addOnCompleteListener(
         new OnCompleteListener<AuthResult>() {
         @Override
         public void onComplete(@NonNull Task<AuthResult> task) {
           if (task.isSuccessful()) {
             // User is not enrolled with a second factor and is successfully
             // signed in.
             // ...
             return;
           }
           if (task.getException() instanceof FirebaseAuthMultiFactorException) {
             // The user is a multi-factor user. Second factor challenge is
             // required.
             MultiFactorResolver multiFactorResolver = task.getException().getResolver();
             // ...
           } else {
             // Handle other errors such as wrong password.
           }
         }
         });
   

   Si el primer factor del usuario es un proveedor federado, como OAuth, captura el error después de llamar a startActivityForSignInWithProvider().

2. Si el usuario tiene registrados varios factores secundarios, pregúntale cuál quiere usar:

   Kotlin+KTX

   // Ask user which second factor to use.
   // You can get the list of enrolled second factors using
   //   multiFactorResolver.hints
   
   // Check the selected factor:
   if (multiFactorResolver.hints[selectedIndex].factorId
       === PhoneMultiFactorGenerator.FACTOR_ID
   ) {
       // User selected a phone second factor.
       val selectedHint =
           multiFactorResolver.hints[selectedIndex] as PhoneMultiFactorInfo
   } else if (multiFactorResolver.hints[selectedIndex].factorId
       === TotpMultiFactorGenerator.FACTOR_ID) {
       // User selected a TOTP second factor.
   } else {
       // Unsupported second factor.
   }
   

   Java

   // Ask user which second factor to use.
   // You can get the masked phone number using
   // resolver.getHints().get(selectedIndex).getPhoneNumber()
   // You can get the display name using
   // resolver.getHints().get(selectedIndex).getDisplayName()
   if ( resolver.getHints()
                  .get(selectedIndex)
                  .getFactorId()
                  .equals( PhoneMultiFactorGenerator.FACTOR_ID ) ) {
   // User selected a phone second factor.
   MultiFactorInfo selectedHint =
     multiFactorResolver.getHints().get(selectedIndex);
   } else if ( resolver
                 .getHints()
                 .get(selectedIndex)
                 .getFactorId()
                 .equals(TotpMultiFactorGenerator.FACTOR_ID ) ) {
     // User selected a TOTP second factor.
   } else {
   // Unsupported second factor.
   }
   

3. Inicializa un objeto PhoneAuthOptions con la pista y la sesión multifactor. Estos valores se incluyen en el resolver adjunto a FirebaseAuthMultiFactorException.

   Kotlin+KTX

   val phoneAuthOptions = PhoneAuthOptions.newBuilder()
       .setMultiFactorHint(selectedHint)
       .setTimeout(30L, TimeUnit.SECONDS)
       .setMultiFactorSession(multiFactorResolver.session)
       .setCallbacks(callbacks) // Optionally disable instant verification.
       // .requireSmsValidation(true)
       .build()
   

   Java

   PhoneAuthOptions phoneAuthOptions =
     PhoneAuthOptions.newBuilder()
         .setMultiFactorHint(selectedHint)
         .setTimeout(30L, TimeUnit.SECONDS)
         .setMultiFactorSession(multiFactorResolver.getSession())
         .setCallbacks(callbacks)
         // Optionally disable instant verification.
         // .requireSmsValidation(true)
         .build();
   

4. Envía un mensaje de verificación al teléfono del usuario:

   Kotlin+KTX

   // Send SMS verification code
   PhoneAuthProvider.verifyPhoneNumber(phoneAuthOptions)
   

   Java

   // Send SMS verification code
   PhoneAuthProvider.verifyPhoneNumber(phoneAuthOptions);
   

5. Una vez que se haya enviado el código por SMS, pide al usuario que lo verifique:

   Kotlin+KTX

   // Ask user for the verification code. Then, pass it to getCredential:
   val credential =
       PhoneAuthProvider.getCredential(verificationId, verificationCode)
   

   Java

   // Ask user for the verification code. Then, pass it to getCredential:
   PhoneAuthCredential credential
       = PhoneAuthProvider.getCredential(verificationId, verificationCode);
   

6. Inicializa un objeto MultiFactorAssertion con PhoneAuthCredential:

   Kotlin+KTX

   val multiFactorAssertion = PhoneMultiFactorGenerator.getAssertion(credential)
   

   Java

   MultiFactorAssertion multiFactorAssertion
       = PhoneMultiFactorGenerator.getAssertion(credential);
   

7. Llama al resolver.resolveSignIn() para completar la autenticación secundaria. Después, puedes acceder al resultado del inicio de sesión original, que incluye los datos específicos del proveedor y las credenciales de autenticación estándar:

   Kotlin+KTX

   multiFactorResolver
       .resolveSignIn(multiFactorAssertion)
       .addOnCompleteListener { task ->
           if (task.isSuccessful) {
               val authResult = task.result
               // AuthResult will also contain the user, additionalUserInfo,
               // and an optional credential (null for email/password)
               // associated with the first factor sign-in.
   
               // For example, if the user signed in with Google as a first
               // factor, authResult.getAdditionalUserInfo() will contain data
               // related to Google provider that the user signed in with;
               // authResult.getCredential() will contain the Google OAuth
               //   credential;
               // authResult.getCredential().getAccessToken() will contain the
               //   Google OAuth access token;
               // authResult.getCredential().getIdToken() contains the Google
               //   OAuth ID token.
           }
       }
   

   Java

   multiFactorResolver
     .resolveSignIn(multiFactorAssertion)
     .addOnCompleteListener(
         new OnCompleteListener<AuthResult>() {
         @Override
         public void onComplete(@NonNull Task<AuthResult> task) {
           if (task.isSuccessful()) {
             AuthResult authResult = task.getResult();
             // AuthResult will also contain the user, additionalUserInfo,
             // and an optional credential (null for email/password)
             // associated with the first factor sign-in.
             // For example, if the user signed in with Google as a first
             // factor, authResult.getAdditionalUserInfo() will contain data
             // related to Google provider that the user signed in with.
             // authResult.getCredential() will contain the Google OAuth
             // credential.
             // authResult.getCredential().getAccessToken() will contain the
             // Google OAuth access token.
             // authResult.getCredential().getIdToken() contains the Google
             // OAuth ID token.
           }
         }
         });
   

El código siguiente muestra un ejemplo completo de inicio de sesión de un usuario con varios factores:

FirebaseAuth.getInstance()
    .signInWithEmailAndPassword(email, password)
    .addOnCompleteListener { task ->
        if (task.isSuccessful) {
            // User is not enrolled with a second factor and is successfully
            // signed in.
            // ...
            return@addOnCompleteListener
        }
        if (task.exception is FirebaseAuthMultiFactorException) {
            val multiFactorResolver =
                (task.exception as FirebaseAuthMultiFactorException).resolver

            // Ask user which second factor to use. Then, get
            // the selected hint:
            val selectedHint =
                multiFactorResolver.hints[selectedIndex] as PhoneMultiFactorInfo

            // Send the SMS verification code.
            PhoneAuthProvider.verifyPhoneNumber(
                PhoneAuthOptions.newBuilder()
                    .setActivity(this)
                    .setMultiFactorSession(multiFactorResolver.session)
                    .setMultiFactorHint(selectedHint)
                    .setCallbacks(generateCallbacks())
                    .setTimeout(30L, TimeUnit.SECONDS)
                    .build()
            )

            // Ask user for the SMS verification code, then use it to get
            // a PhoneAuthCredential:
            val credential =
                PhoneAuthProvider.getCredential(verificationId, verificationCode)

            // Initialize a MultiFactorAssertion object with the
            // PhoneAuthCredential.
            val multiFactorAssertion: MultiFactorAssertion =
                PhoneMultiFactorGenerator.getAssertion(credential)

            // Complete sign-in.
            multiFactorResolver
                .resolveSignIn(multiFactorAssertion)
                .addOnCompleteListener { task ->
                    if (task.isSuccessful) {
                        // User successfully signed in with the
                        // second factor phone number.
                    }
                    // ...
                }
        } else {
            // Handle other errors such as wrong password.
        }
    }

FirebaseAuth.getInstance()
  .signInWithEmailAndPassword(email, password)
  .addOnCompleteListener(
      new OnCompleteListener<AuthResult>() {
      @Override
      public void onComplete(@NonNull Task<AuthResult> task) {
        if (task.isSuccessful()) {
          // User is not enrolled with a second factor and is successfully
          // signed in.
          // ...
          return;
        }
        if (task.getException() instanceof FirebaseAuthMultiFactorException) {
          FirebaseAuthMultiFactorException e =
            (FirebaseAuthMultiFactorException) task.getException();

          MultiFactorResolver multiFactorResolver = e.getResolver();

          // Ask user which second factor to use.
          MultiFactorInfo selectedHint =
            multiFactorResolver.getHints().get(selectedIndex);

          // Send the SMS verification code.
          PhoneAuthProvider.verifyPhoneNumber(
            PhoneAuthOptions.newBuilder()
                .setActivity(this)
                .setMultiFactorSession(multiFactorResolver.getSession())
                .setMultiFactorHint(selectedHint)
                .setCallbacks(generateCallbacks())
                .setTimeout(30L, TimeUnit.SECONDS)
                .build());

          // Ask user for the SMS verification code.
          PhoneAuthCredential credential =
            PhoneAuthProvider.getCredential(verificationId, verificationCode);

          // Initialize a MultiFactorAssertion object with the
          // PhoneAuthCredential.
          MultiFactorAssertion multiFactorAssertion =
            PhoneMultiFactorGenerator.getAssertion(credential);

          // Complete sign-in.
          multiFactorResolver
            .resolveSignIn(multiFactorAssertion)
            .addOnCompleteListener(
                new OnCompleteListener<AuthResult>() {
                  @Override
                  public void onComplete(@NonNull Task<AuthResult> task) {
                  if (task.isSuccessful()) {
                    // User successfully signed in with the
                    // second factor phone number.
                  }
                  // ...
                  }
                });
        } else {
          // Handle other errors such as wrong password.
        }
      }
      });

¡Enhorabuena! Has iniciado sesión correctamente con un usuario mediante la autenticación multifactor.

Siguientes pasos

• Gestiona usuarios que utilicen la autenticación multifactor de forma programática con el SDK de administrador.