Если вы обновили Firebase Authentication with Identity Platform , вы можете добавить в свое приложение многофакторную аутентификацию (MFA) с использованием одноразовых паролей на основе времени (TOTP).
Firebase Authentication with Identity Platform позволяет использовать TOTP в качестве дополнительного фактора для многофакторной аутентификации (MFA). При включении этой функции пользователи, пытающиеся войти в ваше приложение, видят запрос на ввод TOTP. Для его генерации им необходимо использовать приложение-аутентификатор, способное генерировать действительные TOTP-коды, например, Google Authenticator .
Прежде чем начать
Включите хотя бы одного поставщика услуг, поддерживающего многофакторную аутентификацию (MFA). Обратите внимание, что все поставщики услуг, кроме следующих, поддерживают MFA:
- Авторизация по телефону
- Анонимная аутентификация
- Пользовательские токены аутентификации
- Apple Game Center
Убедитесь, что ваше приложение проверяет адреса электронной почты пользователей. Многофакторная аутентификация (MFA) требует подтверждения адреса электронной почты. Это предотвращает регистрацию злоумышленниками в сервисе с использованием адреса электронной почты, который им не принадлежит, и последующую блокировку доступа фактического владельца этого адреса путем добавления второго фактора.
Если вы еще этого не сделали, установите Firebase Apple SDK .
Поддержка TOTP MFA доступна только в версиях Apple SDK v10.12.0 и выше, и только на iOS.
Включить многофакторную аутентификацию TOTP
Чтобы включить TOTP в качестве второго фактора аутентификации, используйте Admin SDK или вызовите REST-конечную точку конфигурации проекта.
Для использования Admin SDK выполните следующие действия:
Если вы еще этого не сделали, установите Firebase Admin Node.js SDK .
Поддержка TOTP MFA доступна только в версиях Firebase Admin Node.js SDK 11.6.0 и выше.
Выполните следующие действия:
import { getAuth } from 'firebase-admin/auth'; getAuth().projectConfigManager().updateProjectConfig( { multiFactorConfig: { providerConfigs: [{ state: "ENABLED", totpProviderConfig: { adjacentIntervals: NUM_ADJ_INTERVALS } }] } })Замените следующее:
NUM_ADJ_INTERVALS: Количество смежных временных интервалов, из которых принимаются TOTP-сообщения, от нуля до десяти. Значение по умолчанию — пять.Принцип работы TOTP заключается в том, что когда две стороны (доказывающая и подтверждающая) генерируют OTP в течение одного и того же временного окна (обычно 30 секунд), они генерируют один и тот же пароль. Однако, чтобы учесть расхождение во времени между сторонами и время реакции человека, можно настроить службу TOTP таким образом, чтобы она принимала TOTP и из смежных временных окон.
Для включения многофакторной аутентификации TOTP с использованием REST API выполните следующие действия:
curl -X PATCH "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=mfa" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
-d \
'{
"mfa": {
"providerConfigs": [{
"state": "ENABLED",
"totpProviderConfig": {
"adjacentIntervals": NUM_ADJ_INTERVALS
}
}]
}
}'
Замените следующее:
-
PROJECT_ID: Идентификатор проекта. NUM_ADJ_INTERVALS: Количество временных интервалов от нуля до десяти. Значение по умолчанию — пять.Принцип работы TOTP заключается в том, что когда две стороны (доказывающая и подтверждающая) генерируют OTP в течение одного и того же временного окна (обычно 30 секунд), они генерируют один и тот же пароль. Однако, чтобы учесть расхождение во времени между сторонами и время реакции человека, можно настроить службу TOTP таким образом, чтобы она принимала TOTP и из смежных временных окон.
Выберите схему зачисления
Вы можете выбрать, требуется ли вашему приложению многофакторная аутентификация, а также как и когда регистрировать пользователей. К распространенным сценариям относятся следующие:
Включите второй фактор аутентификации пользователя в процесс регистрации. Используйте этот метод, если ваше приложение требует многофакторной аутентификации для всех пользователей.
Предложите возможность пропустить регистрацию и добавить второй фактор аутентификации. Если вы хотите поощрять, но не требовать многофакторную аутентификацию в своем приложении, вы можете использовать этот подход.
Предоставьте возможность добавления второго фактора аутентификации на странице управления учетной записью или профилем пользователя, а не на экране регистрации. Это минимизирует сложности в процессе регистрации, сохраняя при этом возможность многофакторной аутентификации для пользователей, которым важна безопасность.
Необходимо постепенно вводить второй фактор аутентификации при каждом желании пользователя получить доступ к функциям с повышенными требованиями к безопасности.
Зарегистрируйте пользователей в системе многофакторной аутентификации TOTP.
После включения TOTP MFA в качестве второго фактора для вашего приложения, реализуйте логику на стороне клиента для регистрации пользователей в TOTP MFA:
Повторно аутентифицируйте пользователя.
Сгенерируйте секретный TOTP-код для авторизованного пользователя:
// Generate a TOTP secret. guard let mfaSession = try? await currentUser.multiFactor.session() else { return } guard let totpSecret = try? await TOTPMultiFactorGenerator.generateSecret(with: mfaSession) else { return } // Display the secret to the user and prompt them to enter it into their // authenticator app. (See the next step.)Отобразите секретный ключ пользователю и предложите ему ввести его в приложение-аутентификатор:
// Display this key: let secret = totpSecret.sharedSecretKey()Помимо отображения секретного ключа, вы можете попытаться автоматически добавить его в приложение-аутентификатор по умолчанию на устройстве. Для этого сгенерируйте URI ключа, совместимый с Google Authenticator , и передайте его функции
openInOTPApp(withQRCodeURL:):let otpAuthUri = totpSecret.generateQRCodeURL( withAccountName: currentUser.email ?? "default account", issuer: "Your App Name") totpSecret.openInOTPApp(withQRCodeURL: otpAuthUri)После того, как пользователь добавит свой секретный ключ в приложение-аутентификатор, оно начнет генерировать TOTP-коды.
Предложите пользователю ввести TOTP, отображаемый его приложением-аутентификатором, и использовать его для завершения регистрации многофакторной аутентификации:
// Ask the user for a verification code from the authenticator app. let verificationCode = // Code from user input. // Finalize the enrollment. let multiFactorAssertion = TOTPMultiFactorGenerator.assertionForEnrollment( with: totpSecret, oneTimePassword: verificationCode) do { try await currentUser.multiFactor.enroll( with: multiFactorAssertion, displayName: "TOTP") } catch { // Wrong or expired OTP. Re-prompt the user. }
Вход пользователей осуществляется с использованием двухфакторной аутентификации.
Для авторизации пользователей с использованием TOTP MFA используйте следующий код:
Вызовите один из методов
signIn(with...:)так же, как если бы вы не использовали многофакторную аутентификацию (например,signIn(withEmail:password:)). Если метод выдаст ошибку с кодомsecondFactorRequired, запустите процесс многофакторной аутентификации вашего приложения.do { let authResult = try await Auth.auth().signIn(withEmail: email, password: password) // If the user is not enrolled with a second factor and provided valid // credentials, sign-in succeeds. // (If your app requires MFA, this could be considered an error // condition, which you would resolve by forcing the user to enroll a // second factor.) // ... } catch let error as AuthErrorCode where error.code == .secondFactorRequired { // Initiate your second factor sign-in flow. (See next step.) // ... } catch { // Other auth error. throw error }В процессе многофакторной аутентификации (MFA) вашего приложения пользователю сначала следует предложить выбрать второй фактор аутентификации. Список поддерживаемых вторых факторов можно получить, изучив свойство
hintsэкземпляраMultiFactorResolver:let mfaKey = AuthErrorUserInfoMultiFactorResolverKey guard let resolver = error.userInfo[mfaKey] as? MultiFactorResolver else { return } let enrolledFactors = resolver.hints.map(\.displayName)Если пользователь решит использовать TOTP, предложите ему ввести TOTP, отображаемый в приложении-аутентификаторе, и использовать его для входа в систему:
let multiFactorInfo = resolver.hints[selectedIndex] switch multiFactorInfo.factorID { case TOTPMultiFactorID: let otpFromAuthenticator = // OTP typed by the user. let assertion = TOTPMultiFactorGenerator.assertionForSignIn( withEnrollmentID: multiFactorInfo.uid, oneTimePassword: otpFromAuthenticator) do { let authResult = try await resolver.resolveSignIn(with: assertion) } catch { // Wrong or expired OTP. Re-prompt the user. } default: return }
Отказаться от участия в программе TOTP MFA
В этом разделе описывается, как обрабатывать случаи отмены пользователем участия в многофакторной аутентификации TOTP.
Если пользователь зарегистрировался для нескольких вариантов многофакторной аутентификации (МФА) и отменяет регистрацию для последнего активированного варианта, он получает сообщение auth/user-token-expired и выходит из системы. Пользователю необходимо снова войти в систему и подтвердить свои существующие учетные данные — например, адрес электронной почты и пароль.
Для отмены регистрации пользователя, обработки ошибки и запуска повторной аутентификации используйте следующий код:
guard let currentUser = Auth.auth().currentUser else { return }
// Prompt the user to select a factor to unenroll, from this array:
currentUser.multiFactor.enrolledFactors
// ...
// Unenroll the second factor.
let multiFactorInfo = currentUser.multiFactor.enrolledFactors[selectedIndex]
do {
try await currentUser.multiFactor.unenroll(with: multiFactorInfo)
} catch let error as AuthErrorCode where error.code == .invalidUserToken {
// Second factor unenrolled, but the user was signed out. Re-authenticate
// them.
}
Что дальше?
- Управляйте многофакторной аутентификацией пользователей программным способом с помощью Admin SDK .