Aggiunta dell'autenticazione a più fattori alla tua app per iOS
Questo documento mostra come aggiungere l'autenticazione a più fattori tramite SMS all'app iOS.
L'autenticazione a più fattori aumenta la sicurezza della tua app. Sebbene i malintenzionati spesso compromettano le password e gli account social, intercettare un SMS è più difficile.
Prima di iniziare
Abilita almeno un provider che supporti l'autenticazione a più fattori. Ogni provider supporta MFA, tranne l'autenticazione tramite telefono, l'autenticazione anonima e l'Apple Game Center.
Assicurati che la tua app verifichi le email degli utenti. La MFA richiede la verifica email. In questo modo impedisci ai malintenzionati di registrarsi a un servizio con un'email di cui non sono proprietari, quindi di bloccare il vero proprietario aggiungendo un secondo fattore.
Attivazione dell'autenticazione a più fattori
Vai alla pagina Identity Platform MFA nella console Google Cloud.
Vai alla pagina MFANella casella Autenticazione a più fattori basata su SMS, fai clic su Attiva.
Inserisci i numeri di telefono con cui testerai la tua app. Sebbene sia facoltativo, è vivamente consigliato registrare i numeri di telefono di test per evitare limitazioni durante lo sviluppo.
Se non hai ancora autorizzato il dominio dell'app, aggiungilo alla lista consentita facendo clic su Aggiungi dominio a destra.
Fai clic su Salva.
Verifica dell'app in corso...
Identity Platform deve verificare che le richieste SMS provengano dalla tua app. Puoi farlo in due modi:
Notifiche APN silenziose: quando accedi a un utente per la prima volta, Identity Platform può inviare una notifica push silenziosa al dispositivo dell'utente. L'autenticazione può procedere se l'app riceve la notifica. Tieni presente che, a partire da iOS 8.0, non devi chiedere all'utente di consentire l'utilizzo di questo metodo per le notifiche push.
Verifica reCAPTCHA: se non riesci a inviare una notifica silenziosa (ad esempio, perché l'utente ha disattivato l'aggiornamento in background o stai testando la tua app nel simulatore iOS), puoi utilizzare reCAPTCHA. In molti casi, il reCAPTCHA viene risolto automaticamente senza interazione da parte dell'utente.
Usare le notifiche silenziose
Per abilitare le notifiche degli APN da utilizzare con Identity Platform:
In Xcode, abilita le notifiche push per il tuo progetto.
Carica la chiave di autenticazione degli APN utilizzando la Console Firebase (le modifiche verranno trasferite automaticamente a Google Cloud Identity Platform). Se non hai ancora la tua chiave di autenticazione APN, consulta la sezione Configurare gli APN con FCM per scoprire come ottenerlo.
Apri la Console Firebase.
Vai a Project Settings (Impostazioni progetto).
Seleziona la scheda Cloud Messaging.
In Chiave di autenticazione API, nella sezione Configurazione app iOS, fai clic su Carica.
Seleziona il token.
Aggiungi l'ID della chiave. Puoi trovare l'ID chiave in Certificati, identificatori e profili nell'Apple Member Center.
Fai clic su Carica.
Se hai già un certificato del servizio APN, puoi caricarlo.
Utilizzo della verifica reCAPTCHA
Per abilitare l'SDK client all'utilizzo di reCAPTCHA:
Apri la configurazione del progetto in Xcode.
Fai doppio clic sul nome del progetto nella visualizzazione ad albero a sinistra.
Seleziona la tua app dalla sezione Target.
Seleziona la scheda Informazioni.
Espandi la sezione Tipi di URL.
Fai clic sul pulsante +.
Inserisci l'ID client invertito nel campo Schemi degli URL. Puoi trovare questo valore nel file di configurazione
GoogleService-Info.plistcomeREVERSED_CLIENT_ID.
Al termine, la configurazione dovrebbe essere simile alla seguente:
Facoltativamente, puoi personalizzare il modo in cui la tua app presenta SFSafariViewController o UIWebView quando visualizzi il reCAPTCHA. Per farlo, crea una classe personalizzata conforme al protocollo FIRAuthUIDelegate e passala a verifyPhoneNumber:UIDelegate:completion:.
Scegliere un pattern di registrazione
Puoi scegliere se la tua app richiede l'autenticazione a più fattori e come e quando registrare gli utenti. Alcuni schemi comuni includono:
Registra il secondo fattore dell'utente nell'ambito della registrazione. Utilizza questo metodo se la tua app richiede l'autenticazione a più fattori per tutti gli utenti. Tieni presente che un account deve avere un indirizzo email verificato per registrare un secondo fattore, quindi il tuo flusso di registrazione dovrà gestire questa situazione.
Offri un'opzione ignorabile per registrare un secondo fattore durante la registrazione. Le app che vogliono incoraggiare, ma non richiedono, l'autenticazione a più fattori possono preferire questo approccio.
Offri la possibilità di aggiungere un secondo fattore dalla pagina di gestione del profilo o dell'account dell'utente, invece che dalla schermata di registrazione. Questo riduce al minimo l'attrito durante il processo di registrazione, pur rendendo disponibile l'autenticazione a più fattori per gli utenti sensibili alla sicurezza.
Richiedi l'aggiunta di un secondo fattore in modo incrementale quando l'utente vuole accedere alle funzionalità con requisiti di sicurezza più elevati.
Registrazione di un secondo fattore
Per registrare un nuovo fattore secondario per un utente:
Eseguire nuovamente l'autenticazione dell'utente.
Chiedi all'utente di inserire il suo numero di telefono.
Ricevi una sessione a più fattori per l'utente:
Swift
authResult.user.multiFactor.getSessionWithCompletion() { (session, error) in // ... }Objective-C
[authResult.user.multiFactor getSessionWithCompletion:^(FIRMultiFactorSession * _Nullable session, NSError * _Nullable error) { // ... }];Invia un messaggio di verifica al telefono dell'utente. Verifica che il numero di telefono sia formattato da
+iniziale e non presenti altri segni di punteggiatura o spazi vuoti (ad esempio:+15105551234)Swift
// Send SMS verification code. PhoneAuthProvider.provider().verifyPhoneNumber( phoneNumber, uiDelegate: nil, multiFactorSession: session) { (verificationId, error) in // verificationId will be needed for enrollment completion. }Objective-C
// Send SMS verification code. [FIRPhoneAuthProvider.provider verifyPhoneNumber:phoneNumber UIDelegate:nil multiFactorSession:session completion:^(NSString * _Nullable verificationID, NSError * _Nullable error) { // verificationId will be needed for enrollment completion. }];Sebbene non sia obbligatorio, è consigliabile informare in anticipo gli utenti che riceveranno un messaggio SMS e che verranno applicate le tariffe standard.
Il metodo
verifyPhoneNumber()avvia il processo di verifica dell'app in background utilizzando la notifica push silenziosa. Se la notifica push silenziosa non è disponibile,viene eseguita una richiesta reCAPTCHA.Una volta inviato il codice SMS, chiedi all'utente di verificare il codice. Quindi, utilizza la loro risposta per creare un
PhoneAuthCredential:Swift
// Ask user for the verification code. Then: let credential = PhoneAuthProvider.provider().credential( withVerificationID: verificationId, verificationCode: verificationCode)Objective-C
// Ask user for the SMS verification code. Then: FIRPhoneAuthCredential *credential = [FIRPhoneAuthProvider.provider credentialWithVerificationID:verificationID verificationCode:kPhoneSecondFactorVerificationCode];Inizializza un oggetto asserzione:
Swift
let assertion = PhoneMultiFactorGenerator.assertion(with: credential)Objective-C
FIRMultiFactorAssertion *assertion = [FIRPhoneMultiFactorGenerator assertionWithCredential:credential];Completa la registrazione. Facoltativamente, puoi specificare un nome visualizzato per il secondo fattore. Ciò è utile per gli utenti con più fattori di secondo, poiché il numero di telefono è mascherato durante il flusso di autenticazione (ad esempio, +1******1234).
Swift
// Complete enrollment. This will update the underlying tokens // and trigger ID token change listener. user.multiFactor.enroll(with: assertion, displayName: displayName) { (error) in // ... }Objective-C
// Complete enrollment. This will update the underlying tokens // and trigger ID token change listener. [authResult.user.multiFactor enrollWithAssertion:assertion displayName:nil completion:^(NSError * _Nullable error) { // ... }];
Il codice seguente mostra un esempio completo di come registrare un secondo fattore:
Swift
let user = Auth.auth().currentUser
user?.multiFactor.getSessionWithCompletion({ (session, error) in
// Send SMS verification code.
PhoneAuthProvider.provider().verifyPhoneNumber(
phoneNumber,
uiDelegate: nil,
multiFactorSession: session
) { (verificationId, error) in
// verificationId will be needed for enrollment completion.
// Ask user for the verification code.
let credential = PhoneAuthProvider.provider().credential(
withVerificationID: verificationId!,
verificationCode: phoneSecondFactorVerificationCode)
let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
// Complete enrollment. This will update the underlying tokens
// and trigger ID token change listener.
user?.multiFactor.enroll(with: assertion, displayName: displayName) { (error) in
// ...
}
}
})
Objective-C
FIRUser *user = FIRAuth.auth.currentUser;
[user.multiFactor getSessionWithCompletion:^(FIRMultiFactorSession * _Nullable session,
NSError * _Nullable error) {
// Send SMS verification code.
[FIRPhoneAuthProvider.provider
verifyPhoneNumber:phoneNumber
UIDelegate:nil
multiFactorSession:session
completion:^(NSString * _Nullable verificationID, NSError * _Nullable error) {
// verificationId will be needed for enrollment completion.
// Ask user for the verification code.
// ...
// Then:
FIRPhoneAuthCredential *credential =
[FIRPhoneAuthProvider.provider credentialWithVerificationID:verificationID
verificationCode:kPhoneSecondFactorVerificationCode];
FIRMultiFactorAssertion *assertion =
[FIRPhoneMultiFactorGenerator assertionWithCredential:credential];
// Complete enrollment. This will update the underlying tokens
// and trigger ID token change listener.
[user.multiFactor enrollWithAssertion:assertion
displayName:displayName
completion:^(NSError * _Nullable error) {
// ...
}];
}];
}];
Complimenti! Hai registrato correttamente un secondo fattore di autenticazione per un utente.
Accesso degli utenti con un secondo fattore
Per eseguire l'accesso di un utente con la verifica tramite SMS a due fattori:
Accedi l'utente con il primo fattore, quindi intercetta un errore che indica che è richiesta l'autenticazione a più fattori. Questo errore contiene un resolver, fornisce suggerimenti sui secondi fattori registrati e una sessione sottostante che dimostra che l'utente è stato autenticato correttamente con il primo fattore.
Ad esempio, se il primo fattore dell'utente era un indirizzo email e una password:
Swift
Auth.auth().signIn( withEmail: email, password: password ) { (result, error) in let authError = error as NSError if authError?.code == AuthErrorCode.secondFactorRequired.rawValue { // The user is a multi-factor user. Second factor challenge is required. let resolver = authError!.userInfo[AuthErrorUserInfoMultiFactorResolverKey] as! MultiFactorResolver // ... } else { // Handle other errors such as wrong password. } }Objective-C
[FIRAuth.auth signInWithEmail:email password:password completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) { if (error == nil || error.code != FIRAuthErrorCodeSecondFactorRequired) { // User is not enrolled with a second factor and is successfully signed in. // ... } else { // The user is a multi-factor user. Second factor challenge is required. } }];Se il primo fattore dell'utente è un provider federato, ad esempio OAuth, individua l'errore dopo aver chiamato
getCredentialWith().Se l'utente ha più fattori secondari registrati, chiedigli quale utilizzare. Puoi ottenere il numero di telefono mascherato con
resolver.hints[selectedIndex].phoneNumbere il nome visualizzato conresolver.hints[selectedIndex].displayName.Swift
// Ask user which second factor to use. Then: if resolver.hints[selectedIndex].factorID == PhoneMultiFactorID { // User selected a phone second factor. // ... } else { // Unsupported second factor. // Note that only phone second factors are currently supported. }Objective-C
FIRMultiFactorResolver *resolver = (FIRMultiFactorResolver *) error.userInfo[FIRAuthErrorUserInfoMultiFactorResolverKey]; // Ask user which second factor to use. Then: FIRPhoneMultiFactorInfo *hint = (FIRPhoneMultiFactorInfo *) resolver.hints[selectedIndex]; if (hint.factorID == FIRPhoneMultiFactorID) { // User selected a phone second factor. // ... } else { // Unsupported second factor. // Note that only phone second factors are currently supported. }Invia un messaggio di verifica al telefono dell'utente:
Swift
// Send SMS verification code. let hint = resolver.hints[selectedIndex] as! PhoneMultiFactorInfo PhoneAuthProvider.provider().verifyPhoneNumber( with: hint, uiDelegate: nil, multiFactorSession: resolver.session ) { (verificationId, error) in // verificationId will be needed for sign-in completion. }Objective-C
// Send SMS verification code [FIRPhoneAuthProvider.provider verifyPhoneNumberWithMultiFactorInfo:hint UIDelegate:nil multiFactorSession:resolver.session completion:^(NSString * _Nullable verificationID, NSError * _Nullable error) { if (error != nil) { // Failed to verify phone number. } }];Dopo aver inviato il codice SMS, chiedi all'utente di verificare il codice e di utilizzarlo per creare un
PhoneAuthCredential:Swift
// Ask user for the verification code. Then: let credential = PhoneAuthProvider.provider().credential( withVerificationID: verificationId!, verificationCode: verificationCodeFromUser)Objective-C
// Ask user for the SMS verification code. Then: FIRPhoneAuthCredential *credential = [FIRPhoneAuthProvider.provider credentialWithVerificationID:verificationID verificationCode:verificationCodeFromUser];Inizializza un oggetto asserzione con la credenziale:
Swift
let assertion = PhoneMultiFactorGenerator.assertion(with: credential)Objective-C
FIRMultiFactorAssertion *assertion = [FIRPhoneMultiFactorGenerator assertionWithCredential:credential];Risolvi l'accesso. Puoi quindi accedere al risultato di accesso originale, che include le credenziali di autenticazione e i dati specifici specifici del provider:
Swift
// Complete sign-in. This will also trigger the Auth state listeners. resolver.resolveSignIn(with: assertion) { (authResult, error) in // authResult will also contain the user, additionalUserInfo, optional // credential (null for email/password) associated with the first factor sign-in. // For example, if the user signed in with Google as a first factor, // authResult.additionalUserInfo will contain data related to Google provider that // the user signed in with. // user.credential contains the Google OAuth credential. // user.credential.accessToken contains the Google OAuth access token. // user.credential.idToken contains the Google OAuth ID token. }Objective-C
// Complete sign-in. [resolver resolveSignInWithAssertion:assertion completion:^(FIRAuthDataResult * _Nullable authResult, NSError * _Nullable error) { if (error != nil) { // User successfully signed in with the second factor phone number. } }];
Il codice seguente mostra un esempio completo di come accedere a un utente a più fattori:
Swift
Auth.auth().signIn(
withEmail: email,
password: password
) { (result, error) in
let authError = error as NSError?
if authError?.code == AuthErrorCode.secondFactorRequired.rawValue {
let resolver =
authError!.userInfo[AuthErrorUserInfoMultiFactorResolverKey] as! MultiFactorResolver
// Ask user which second factor to use.
// ...
// Then:
let hint = resolver.hints[selectedIndex] as! PhoneMultiFactorInfo
// Send SMS verification code
PhoneAuthProvider.provider().verifyPhoneNumber(
with: hint,
uiDelegate: nil,
multiFactorSession: resolver.session
) { (verificationId, error) in
if error != nil {
// Failed to verify phone number.
}
// Ask user for the SMS verification code.
// ...
// Then:
let credential = PhoneAuthProvider.provider().credential(
withVerificationID: verificationId!,
verificationCode: verificationCodeFromUser)
let assertion = PhoneMultiFactorGenerator.assertion(with: credential)
// Complete sign-in.
resolver.resolveSignIn(with: assertion) { (authResult, error) in
if error != nil {
// User successfully signed in with the second factor phone number.
}
}
}
}
}
Objective-C
[FIRAuth.auth signInWithEmail:email
password:password
completion:^(FIRAuthDataResult * _Nullable authResult,
NSError * _Nullable error) {
if (error == nil || error.code != FIRAuthErrorCodeSecondFactorRequired) {
// User is not enrolled with a second factor and is successfully signed in.
// ...
} else {
FIRMultiFactorResolver *resolver =
(FIRMultiFactorResolver *) error.userInfo[FIRAuthErrorUserInfoMultiFactorResolverKey];
// Ask user which second factor to use.
// ...
// Then:
FIRPhoneMultiFactorInfo *hint = (FIRPhoneMultiFactorInfo *) resolver.hints[selectedIndex];
// Send SMS verification code
[FIRPhoneAuthProvider.provider
verifyPhoneNumberWithMultiFactorInfo:hint
UIDelegate:nil
multiFactorSession:resolver.session
completion:^(NSString * _Nullable verificationID,
NSError * _Nullable error) {
if (error != nil) {
// Failed to verify phone number.
}
// Ask user for the SMS verification code.
// ...
// Then:
FIRPhoneAuthCredential *credential =
[FIRPhoneAuthProvider.provider
credentialWithVerificationID:verificationID
verificationCode:kPhoneSecondFactorVerificationCode];
FIRMultiFactorAssertion *assertion =
[FIRPhoneMultiFactorGenerator assertionWithCredential:credential];
// Complete sign-in.
[resolver resolveSignInWithAssertion:assertion
completion:^(FIRAuthDataResult * _Nullable authResult,
NSError * _Nullable error) {
if (error != nil) {
// User successfully signed in with the second factor phone number.
}
}];
}];
}
}];
Complimenti! Hai eseguito l'accesso a un utente tramite l'autenticazione a più fattori.
Passaggi successivi
- Gestisci gli utenti a più fattori in modo programmatico con l'SDK Admin.