Nếu đã nâng cấp lên Firebase Authentication with Identity Platform, bạn có thể thêm tính năng xác thực đa yếu tố (MFA) bằng mật khẩu một lần theo thời gian (TOTP) vào ứng dụng.
Firebase Authentication with Identity Platform cho phép bạn sử dụng TOTP làm yếu tố bổ sung cho MFA. Khi bạn bật tính năng này, người dùng cố gắng đăng nhập vào ứng dụng của bạn sẽ thấy yêu cầu về TOTP. Để tạo TOTP, họ phải sử dụng một ứng dụng xác thực có khả năng tạo mã TOTP hợp lệ, chẳng hạn như Google Authenticator.
Trước khi bắt đầu
Bật ít nhất một nhà cung cấp hỗ trợ MFA. Xin lưu ý rằng tất cả nhà cung cấp ngoại trừ những nhà cung cấp sau đều hỗ trợ MFA:
- Xác thực bằng điện thoại
- Xác thực ẩn danh
- Mã thông báo xác thực tuỳ chỉnh
- Apple Game Center
Đảm bảo ứng dụng của bạn xác minh địa chỉ email của người dùng. MFA yêu cầu xác minh email. Điều này giúp ngăn chặn những đối tượng xấu đăng ký một dịch vụ bằng địa chỉ email không phải của họ, sau đó khoá chủ sở hữu thực sự của địa chỉ email bằng cách thêm yếu tố thứ hai.
Nếu bạn chưa làm như vậy, hãy cài đặt Firebase Apple SDK.
MFA bằng TOTP chỉ được hỗ trợ trên Apple SDK phiên bản 10.12.0 trở lên và chỉ trên iOS.
Bật MFA bằng TOTP
Để bật TOTP làm yếu tố thứ hai, hãy sử dụng Admin SDK hoặc gọi điểm cuối REST cấu hình dự án.
Để sử dụng Admin SDK, hãy làm như sau:
Nếu bạn chưa làm như vậy, hãy cài đặt Firebase Admin Node.js SDK.
MFA bằng TOTP chỉ được hỗ trợ trên Firebase Admin Node.js SDK phiên bản 11.6.0 trở lên.
Chạy lệnh sau:
import { getAuth } from 'firebase-admin/auth'; getAuth().projectConfigManager().updateProjectConfig( { multiFactorConfig: { providerConfigs: [{ state: "ENABLED", totpProviderConfig: { adjacentIntervals: NUM_ADJ_INTERVALS } }] } })Thay thế những nội dung sau:
NUM_ADJ_INTERVALS: Số khoảng thời gian liền kề mà từ đó chấp nhận TOTP, từ 0 đến 10. Giá trị mặc định là 5.TOTP hoạt động bằng cách đảm bảo rằng khi hai bên (người chứng minh và người xác thực) tạo OTP trong cùng một khoảng thời gian (thường là 30 giây), họ sẽ tạo cùng một mật khẩu. Tuy nhiên, để điều chỉnh độ lệch đồng hồ giữa các bên và thời gian phản hồi của con người, bạn có thể định cấu hình dịch vụ TOTP để chấp nhận TOTP từ các cửa sổ liền kề.
Để bật MFA bằng TOTP bằng API REST, hãy chạy lệnh sau:
curl -X PATCH "https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=mfa" \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-H "X-Goog-User-Project: PROJECT_ID" \
-d \
'{
"mfa": {
"providerConfigs": [{
"state": "ENABLED",
"totpProviderConfig": {
"adjacentIntervals": NUM_ADJ_INTERVALS
}
}]
}
}'
Thay thế những nội dung sau:
PROJECT_ID: Mã dự án.NUM_ADJ_INTERVALS: Số khoảng thời gian, từ 0 đến 10. Giá trị mặc định là 5.TOTP hoạt động bằng cách đảm bảo rằng khi hai bên (người chứng minh và người xác thực) tạo OTP trong cùng một khoảng thời gian (thường là 30 giây), họ sẽ tạo cùng một mật khẩu. Tuy nhiên, để điều chỉnh độ lệch đồng hồ giữa các bên và thời gian phản hồi của con người, bạn có thể định cấu hình dịch vụ TOTP để chấp nhận TOTP từ các cửa sổ liền kề.
Chọn một mẫu đăng ký
Bạn có thể chọn xem ứng dụng của mình có yêu cầu xác thực đa yếu tố hay không, cũng như cách và thời điểm đăng ký cho người dùng. Một số mẫu phổ biến bao gồm:
Đăng ký yếu tố thứ hai của người dùng trong quá trình đăng ký. Sử dụng phương thức này nếu ứng dụng của bạn yêu cầu xác thực đa yếu tố cho tất cả người dùng.
Cung cấp một lựa chọn có thể bỏ qua để đăng ký yếu tố thứ hai trong quá trình đăng ký. Nếu muốn khuyến khích nhưng không yêu cầu xác thực đa yếu tố trong ứng dụng, bạn có thể sử dụng phương pháp này.
Cung cấp khả năng thêm yếu tố thứ hai từ trang quản lý tài khoản hoặc hồ sơ của người dùng, thay vì màn hình đăng ký. Điều này giúp giảm thiểu sự bất tiện trong quá trình đăng ký, đồng thời vẫn cung cấp tính năng xác thực đa yếu tố cho những người dùng nhạy cảm về vấn đề bảo mật.
Yêu cầu thêm yếu tố thứ hai theo từng bước khi người dùng muốn truy cập vào các tính năng có yêu cầu bảo mật cao hơn.
Đăng ký người dùng vào MFA bằng TOTP
Sau khi bật MFA bằng TOTP làm yếu tố thứ hai cho ứng dụng, hãy triển khai logic phía máy khách để đăng ký người dùng vào MFA bằng TOTP:
Xác thực lại người dùng.
Tạo một bí mật TOTP cho người dùng đã xác thực:
// Generate a TOTP secret. guard let mfaSession = try? await currentUser.multiFactor.session() else { return } guard let totpSecret = try? await TOTPMultiFactorGenerator.generateSecret(with: mfaSession) else { return } // Display the secret to the user and prompt them to enter it into their // authenticator app. (See the next step.)Hiển thị bí mật cho người dùng và nhắc họ nhập bí mật đó vào ứng dụng xác thực:
// Display this key: let secret = totpSecret.sharedSecretKey()Ngoài việc hiển thị khoá bí mật, bạn có thể cố gắng tự động thêm khoá này vào ứng dụng xác thực mặc định của thiết bị. Để thực hiện việc này, hãy tạo một URI khoá tương thích với Google Authenticator, và truyền URI đó đến
openInOTPApp(withQRCodeURL:):let otpAuthUri = totpSecret.generateQRCodeURL( withAccountName: currentUser.email ?? "default account", issuer: "Your App Name") totpSecret.openInOTPApp(withQRCodeURL: otpAuthUri)Sau khi người dùng thêm bí mật vào ứng dụng xác thực, ứng dụng này sẽ bắt đầu tạo TOTP.
Nhắc người dùng nhập TOTP do ứng dụng xác thực hiển thị và sử dụng TOTP đó để hoàn tất việc đăng ký MFA:
// Ask the user for a verification code from the authenticator app. let verificationCode = // Code from user input. // Finalize the enrollment. let multiFactorAssertion = TOTPMultiFactorGenerator.assertionForEnrollment( with: totpSecret, oneTimePassword: verificationCode) do { try await currentUser.multiFactor.enroll( with: multiFactorAssertion, displayName: "TOTP") } catch { // Wrong or expired OTP. Re-prompt the user. }
Đăng nhập người dùng bằng yếu tố thứ hai
Để đăng nhập người dùng bằng MFA bằng TOTP, hãy sử dụng mã sau:
Gọi một trong các phương thức
signIn(with...:)- như khi bạn không sử dụng MFA (ví dụ:signIn(withEmail:password:)). Nếu phương thức này gửi một lỗi có mãsecondFactorRequired, hãy bắt đầu quy trình MFA của ứng dụng.do { let authResult = try await Auth.auth().signIn(withEmail: email, password: password) // If the user is not enrolled with a second factor and provided valid // credentials, sign-in succeeds. // (If your app requires MFA, this could be considered an error // condition, which you would resolve by forcing the user to enroll a // second factor.) // ... } catch let error as AuthErrorCode where error.code == .secondFactorRequired { // Initiate your second factor sign-in flow. (See next step.) // ... } catch { // Other auth error. throw error }Quy trình MFA của ứng dụng trước tiên phải nhắc người dùng chọn yếu tố thứ hai mà họ muốn sử dụng. Bạn có thể xem danh sách các yếu tố thứ hai được hỗ trợ bằng cách kiểm tra thuộc tính
hintscủa một thực thểMultiFactorResolver:let mfaKey = AuthErrorUserInfoMultiFactorResolverKey guard let resolver = error.userInfo[mfaKey] as? MultiFactorResolver else { return } let enrolledFactors = resolver.hints.map(\.displayName)Nếu người dùng chọn sử dụng TOTP, hãy nhắc họ nhập TOTP hiển thị trên ứng dụng xác thực và sử dụng TOTP đó để đăng nhập:
let multiFactorInfo = resolver.hints[selectedIndex] switch multiFactorInfo.factorID { case TOTPMultiFactorID: let otpFromAuthenticator = // OTP typed by the user. let assertion = TOTPMultiFactorGenerator.assertionForSignIn( withEnrollmentID: multiFactorInfo.uid, oneTimePassword: otpFromAuthenticator) do { let authResult = try await resolver.resolveSignIn(with: assertion) } catch { // Wrong or expired OTP. Re-prompt the user. } default: return }
Huỷ đăng ký MFA bằng TOTP
Phần này mô tả cách xử lý trường hợp người dùng huỷ đăng ký MFA bằng TOTP.
Nếu người dùng đã đăng ký nhiều lựa chọn MFA và nếu họ huỷ đăng ký lựa chọn được bật gần đây nhất, thì họ sẽ nhận được auth/user-token-expired và bị đăng xuất. Người dùng phải đăng nhập lại và xác minh thông tin đăng nhập hiện có, chẳng hạn như địa chỉ email và mật khẩu.
Để huỷ đăng ký người dùng, xử lý lỗi và kích hoạt quá trình xác thực lại, hãy sử dụng mã sau:
guard let currentUser = Auth.auth().currentUser else { return }
// Prompt the user to select a factor to unenroll, from this array:
currentUser.multiFactor.enrolledFactors
// ...
// Unenroll the second factor.
let multiFactorInfo = currentUser.multiFactor.enrolledFactors[selectedIndex]
do {
try await currentUser.multiFactor.unenroll(with: multiFactorInfo)
} catch let error as AuthErrorCode where error.code == .invalidUserToken {
// Second factor unenrolled, but the user was signed out. Re-authenticate
// them.
}
Bước tiếp theo
- Quản lý người dùng xác thực đa yếu tố theo phương thức lập trình bằng Admin SDK.