התאמה אישית של תהליך אימות מספר הטלפון ב-Firebase ב-Android

בדף איך מתחילים להשתמש ב-Firebase Phone Number Verification מוסבר איך לשלב את Firebase PNV באמצעות השיטה getVerifiedPhoneNumber(), שמטפלת בכל התהליך של Firebase PNV, החל מקבלת הסכמת המשתמש ועד לביצוע קריאות הרשת הנדרשות אל ה-Backend של Firebase PNV.

מומלץ לרוב המפתחים להשתמש ב-API עם שיטה אחת (getVerifiedPhoneNumber()). עם זאת, אם אתם צריכים שליטה מדויקת יותר באינטראקציה עם Android Credential Manager – לדוגמה, כדי לבקש פרטי כניסה אחרים יחד עם מספר הטלפון – ספריית Firebase PNV מספקת גם את שתי השיטות הבאות, שכל אחת מהן מטפלת באינטראקציה שונה עם ה-Backend של Firebase PNV:

  • getDigitalCredentialPayload() מקבל בקשה חתומה על ידי השרת, שתשמש להפעלת כלי ניהול האישורים.
  • exchangeCredentialResponseForPhoneNumber() מחליף את התגובה מ-Credential Manager באסימון חתום שמכיל את מספר הטלפון המאומת.

בין הקריאות לכל אחת מהשיטות האלה, אתם אחראים לטפל באינטראקציה עם ממשקי ה-API של מנהל האישורים של Android. בדף הזה מופיעה סקירה כללית של אופן ההטמעה של התהליך הזה שכולל שלושה חלקים.

לפני שמתחילים

מגדירים את פרויקט Firebase ומייבאים את יחסי התלות Firebase PNV כמו שמתואר בדף תחילת העבודה.

1. קבלת מטען ייעודי (payload) של בקשה לפרטי כניסה דיגיטליים

קוראים לשיטה getDigitalCredentialPayload() כדי ליצור בקשה למספר הטלפון של המכשיר. בשלב הבא, הבקשה הזו תהיה מטען הייעודי (payload) של האינטראקציה שלכם עם Credential Manager API.

// This instance does not require an Activity context.
val fpnv = FirebasePhoneNumberVerification.getInstance()

// Your request should include a nonce, which will propagate through the flow
// and be present in the final response from FPNV. See the section "Verifying
// the Firebase PNV token" for details on generating and verifying this.
val nonce = fetchNonceFromYourServer()

fpnv.getDigitalCredentialPayload(nonce, "https://example.com/privacy-policy")
  .addOnSuccessListener { fpnvDigitalCredentialPayload ->
    // Use the payload in the next step.
    // ...
  }
  .addOnFailureListener { e -> /* Handle payload fetch failure */ }

2. שליחת בקשה לקבלת מסמך דיגיטלי לאימות באמצעות המרכז לניהול מסמכי אימות

לאחר מכן, מעבירים את הבקשה למנהל פרטי הכניסה.

כדי לעשות זאת, צריך לעטוף את מטען הבקשה בבקשה של DigitalCredential API. הבקשה הזו צריכה לכלול את אותו מספר חד-פעמי שהעברתם אל getDigitalCredentialPayload().

// This example uses string interpolation for clarity, but you should use some kind of type-safe
// serialization method.
fun buildDigitalCredentialRequestJson(nonce: String, fpnvDigitalCredentialPayload: String) = """
    {
      "requests": [
        {
          "protocol": "openid4vp-v1-unsigned",
          "data": {
            "response_type": "vp_token",
            "response_mode": "dc_api",
            "nonce": "$nonce",
            "dcql_query": { "credentials": [$fpnvDigitalCredentialPayload] }
          }
        }
      ]
    }
""".trimIndent()

אחרי שמבצעים את הפעולות האלה, אפשר לשלוח את הבקשה באמצעות Credential Manager API:

suspend fun makeFpnvRequest(
  context: Activity, nonce: String, fpnvDigitalCredentialPayload: String): GetCredentialResponse {
  // Helper function to build the digital credential request (defined above).
  // Pass the same nonce you passed to getDigitalCredentialPayload().
  val digitalCredentialRequestJson =
    buildDigitalCredentialRequestJson(nonce, fpnvDigitalCredentialPayload)

  // CredentialManager requires an Activity context.
  val credentialManager = CredentialManager.create(context)

  // Build a Credential Manager request that includes the Firebase PNV option. Note that
  // you can't combine the digital credential option with other options.
  val request = GetCredentialRequest.Builder()
    .addCredentialOption(GetDigitalCredentialOption(digitalCredentialRequestJson))
    .build()

  // getCredential is a suspend function, so it must run in a coroutine scope,
  val cmResponse: GetCredentialResponse = try {
    credentialManager.getCredential(context, request)
  } catch (e: GetCredentialException) {
    // If the user cancels the operation, the feature isn't available, or the
    // SIM doesn't support the feature, a GetCredentialCancellationException
    // will be returned. Otherwise, a GetCredentialUnsupportedException will
    // be returned with details in the exception message.
    throw e
  }
  return cmResponse
}

אם הקריאה אל Credential Manager מצליחה, התגובה שלו תכיל מסמך דיגיטלי לאימות, שאפשר לחלץ באמצעות קוד כמו בדוגמה הבאה:

val dcApiResponse = extractApiResponse(cmResponse)

fun extractApiResponse(response: GetCredentialResponse): String {
  val credential = response.credential
  when (credential) {
    is DigitalCredential -> {
      val json = JSONObject(credential.credentialJson)
      val firebaseJwtArray =
          json.getJSONObject("data").getJSONObject("vp_token").getJSONArray("firebase")
      return firebaseJwtArray.getString(0)

    }
    else -> {
      // Handle any unrecognized credential type here.
      Log.e(TAG, "Unexpected type of credential ${credential.type}")
    }
  }
}

3. המרת התגובה של פרטי הכניסה הדיגיטליים באסימון Firebase PNV

לבסוף, קוראים לשיטה exchangeCredentialResponseForPhoneNumber() כדי להחליף את התגובה של האישורים הדיגיטליים במספר הטלפון המאומת ובאסימון Firebase PNV:

fpnv.exchangeCredentialResponseForPhoneNumber(dcApiResponse)
  .addOnSuccessListener { result ->
    val phoneNumber = result.getPhoneNumber()
    // Verification successful
  }
  .addOnFailureListener { e -> /* Handle exchange failure */ }

4. אימות הטוקן של Firebase PNV

אם התהליך יצליח, method‏ getVerifiedPhoneNumber() יחזיר את מספר הטלפון המאומת ואסימון חתום שמכיל אותו. אתם יכולים להשתמש בנתונים האלה באפליקציה שלכם, כמו שמתואר במדיניות הפרטיות שלכם.

אם אתם משתמשים במספר הטלפון המאומת מחוץ ללקוח האפליקציה, כדאי להעביר את האסימון במקום את מספר הטלפון עצמו, כדי שתוכלו לאמת את השלמות שלו כשאתם משתמשים בו. כדי לאמת את הטוקנים, צריך להטמיע שתי נקודות קצה:

  • נקודת קצה (endpoint) ליצירת מספר חד-פעמי
  • נקודת קצה לאימות טוקן

ההטמעה של נקודות הקצה האלה תלויה בכם. בדוגמאות הבאות מוצגות דרכים להטמעה שלהן באמצעות Node.js ו-Express.

יצירת ערכי Nonce

נקודת הקצה הזו אחראית ליצירה ולאחסון זמני של ערכים לשימוש חד-פעמי שנקראים nonces, שמשמשים למניעת התקפות שליחה מחדש על נקודות הקצה שלכם. לדוגמה, יכול להיות שיש לכם מסלול Express שמוגדר כך:

app.get('/fpnvNonce', async (req, res) => {
    const nonce = crypto.randomUUID();

    // TODO: Save the nonce to a database, key store, etc.
    // You should also assign the nonce an expiration time and periodically
    // clear expired nonces from your database.
    await persistNonce({
        nonce,
        expiresAt: Date.now() + 180000, // Give it a short duration.
    });

    // Return the nonce to the caller.
    res.send({ nonce });
});

זו נקודת הקצה שהפונקציה של ה-placeholder,‏ fetchNonceFromYourServer(), בשלב 1 תקרא לה. הערך החד-פעמי יועבר דרך הקריאות השונות לרשת שהלקוח מבצע, ובסופו של דבר יחזור לשרת שלכם באסימון Firebase PNV. בשלב הבא, מאמתים שהאסימון מכיל ערך חד-פעמי שיצרתם.

אימות טוקנים

נקודת הקצה הזו מקבלת טוקנים של Firebase PNV מהלקוח שלכם ומאמתת את האותנטיות שלהם. כדי לאמת טוקן, צריך לבדוק:

  • האסימון נחתם באמצעות אחד מהמפתחות שפורסמו בנקודת הקצה של Firebase PNV JWKS:

    https://fpnv.googleapis.com/v1beta/jwks

  • הטענות לגבי קהל היעד והגורם המנפיק מכילות את מספר הפרויקט ב-Firebase והן בפורמט הבא:

    https://fpnv.googleapis.com/projects/FIREBASE_PROJECT_NUMBER

    מספר פרויקט Firebase מופיע בדף הגדרות הפרויקט במסוף Firebase.

  • הטוקן עדיין בתוקף.

  • הטוקן מכיל ערך nonce תקין. ערך nonce תקין אם:

    • יצרתם אותו (כלומר, אפשר למצוא אותו בכל מנגנון התמדה שבו אתם משתמשים)
    • הוא לא נמצא כבר בשימוש
    • התוקף שלו לא פג

לדוגמה, יישום Express יכול להיראות כך:

import { JwtVerifier } from "aws-jwt-verify";

// Find your Firebase project number in the Firebase console.
const FIREBASE_PROJECT_NUMBER = "123456789";

// The issuer and audience claims of the FPNV token are specific to your
// project.
const issuer = `https://fpnv.googleapis.com/projects/${FIREBASE_PROJECT_NUMBER}`;
const audience = `https://fpnv.googleapis.com/projects/${FIREBASE_PROJECT_NUMBER}`;

// The JWKS URL contains the current public signing keys for FPNV tokens.
const jwksUri = "https://fpnv.googleapis.com/v1beta/jwks";

// Configure a JWT verifier to check the following:
// - The token is signed by Google
// - The issuer and audience claims match your project
// - The token has not yet expired (default begavior)
const fpnvVerifier = JwtVerifier.create({ issuer, audience, jwksUri });

app.post('/verifiedPhoneNumber', async (req, res) => {
    if (!req.body) return res.sendStatus(400);
    // Get the token from the body of the request.
    const fpnvToken = req.body;
    try {
        // Attempt to verify the token using the verifier configured above.
        const verifiedPayload = await fpnvVerifier.verify(fpnvToken);

        // Now that you've verified the signature and claims, verify the nonce.
        // TODO: Try to look up the nonce in your database and remove it if it's
        // found; if it's not found or it's expired, throw an error.
        await testAndRemoveNonce(verifiedPayload.nonce);

        // Only after verifying the JWT signature, claims, and nonce, get the
        // verified phone number from the subject claim.
        // You can use this value however it's needed by your app.
        const verifiedPhoneNumber = verifiedPayload.sub;
        // (Do something with it...)

        return res.sendStatus(200);
    } catch {
        // If verification fails, reject the token.
        return res.sendStatus(400);
    }
});