Anda dapat menggunakan Firebase Authentication untuk memproses login pengguna dengan mengirim pesan SMS ke ponsel pengguna. Selanjutnya, pengguna login menggunakan kode sekali pakai yang dikirimkan dalam pesan SMS.
Cara termudah untuk menambahkan login dengan nomor telepon ke aplikasi adalah menggunakan FirebaseUI, yang mencakup widget login drop-in yang mengimplementasikan proses login untuk login dengan nomor telepon serta login berbasis sandi dan gabungan. Dokumen ini berisi penjelasan mengenai cara mengimplementasikan proses login dengan nomor telepon menggunakan Firebase SDK.
Sebelum memulai
Jika belum melakukannya, salin cuplikan inisialisasi dari Firebase console ke project Anda seperti yang dijelaskan di bagian Menambahkan Firebase ke project JavaScript.Masalah keamanan
Meskipun mudah, autentikasi hanya melalui nomor telepon kurang aman dibandingkan metode lain yang tersedia, karena nomor tersebut dapat berpindah tangan antarpengguna dengan mudah. Selain itu, pada perangkat yang memuat beberapa profil pengguna, setiap pengguna yang dapat menerima pesan SMS dapat login ke akun menggunakan nomor telepon perangkat tersebut.
Jika menggunakan fitur login dengan nomor telepon di aplikasi, Anda harus menawarkannya bersama metode login yang lebih aman, dan memberi tahu pengguna tentang kelemahan keamanan jika menggunakan metode login dengan nomor telepon.
Mengaktifkan login dengan Nomor Telepon untuk project Firebase
Untuk memproses login pengguna melalui SMS, Anda harus mengaktifkan metode login dengan Nomor Telepon untuk project Firebase terlebih dahulu:
- Di Firebase console, buka bagian Authentication.
- Di halaman Sign-in Method, aktifkan metode login dengan Phone Number.
- Pada halaman yang sama, jika domain yang akan menghosting aplikasi tidak tercantum di bagian domain pengalihan OAuth, tambahkan domain Anda. Perlu diperhatikan bahwa localhost tidak diizinkan sebagai domain yang dihosting untuk tujuan autentikasi telepon.
Menyiapkan pemverifikasi reCAPTCHA
Sebelum dapat memproses login dengan nomor telepon pengguna, Anda harus menyiapkan pemverifikasi reCAPTCHA Firebase. Firebase menggunakan reCAPTCHA untuk mencegah penyalahgunaan, misalnya dengan memastikan bahwa permintaan verifikasi nomor telepon berasal dari salah satu domain yang diizinkan oleh aplikasi Anda.
Anda tidak perlu menyiapkan klien reCAPTCHA secara manual. Jika Anda menggunakan objek RecaptchaVerifier
pada Firebase SDK, Firebase secara otomatis akan membuat dan menangani kunci dan secret klien yang diperlukan.
Objek RecaptchaVerifier
mendukung reCAPTCHA tidak terlihat, yang sering kali dapat memverifikasi pengguna tanpa memerlukan tindakan apa pun dari pengguna, serta widget reCAPTCHA yang selalu mengharuskan interaksi pengguna agar verifikasi berhasil diselesaikan.
reCAPTCHA hasil render yang mendasari dapat dilokalkan sesuai preferensi pengguna dengan memperbarui kode bahasa di instance Auth sebelum merender reCAPTCHA. Pelokalan tersebut juga akan berlaku untuk pesan SMS berisi kode verifikasi yang dikirim ke pengguna.
Web
import { getAuth } from "firebase/auth"; const auth = getAuth(); auth.languageCode = 'it'; // To apply the default browser preference instead of explicitly setting it. // auth.useDeviceLanguage();
Web
firebase.auth().languageCode = 'it'; // To apply the default browser preference instead of explicitly setting it. // firebase.auth().useDeviceLanguage();
Menggunakan reCAPTCHA tidak terlihat
Untuk menggunakan reCAPTCHA tidak terlihat, buat objek RecaptchaVerifier
dengan menetapkan parameter size
ke invisible
, serta menetapkan ID tombol pengirim formulir login Anda. Contoh:
Web
import { getAuth, RecaptchaVerifier } from "firebase/auth"; const auth = getAuth(); window.recaptchaVerifier = new RecaptchaVerifier(auth, 'sign-in-button', { 'size': 'invisible', 'callback': (response) => { // reCAPTCHA solved, allow signInWithPhoneNumber. onSignInSubmit(); } });
Web
window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('sign-in-button', { 'size': 'invisible', 'callback': (response) => { // reCAPTCHA solved, allow signInWithPhoneNumber. onSignInSubmit(); } });
Menggunakan widget reCAPTCHA
Untuk menggunakan widget reCAPTCHA yang terlihat, buat elemen di halaman Anda untuk
menampung widget tersebut, lalu buat objek RecaptchaVerifier
serta
tentukan ID container tersebut. Contoh:
Web
import { getAuth, RecaptchaVerifier } from "firebase/auth"; const auth = getAuth(); window.recaptchaVerifier = new RecaptchaVerifier(auth, 'recaptcha-container', {});
Web
window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container');
Opsional: Menetapkan parameter reCAPTCHA
Anda dapat memilih untuk menetapkan fungsi callback pada
objek RecaptchaVerifier
yang akan dipanggil ketika pengguna berhasil memecahkan
reCAPTCHA atau ketika masa berlaku reCAPTCHA habis sebelum pengguna mengirimkan formulir:
Web
import { getAuth, RecaptchaVerifier } from "firebase/auth"; const auth = getAuth(); window.recaptchaVerifier = new RecaptchaVerifier(auth, 'recaptcha-container', { 'size': 'normal', 'callback': (response) => { // reCAPTCHA solved, allow signInWithPhoneNumber. // ... }, 'expired-callback': () => { // Response expired. Ask user to solve reCAPTCHA again. // ... } });
Web
window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container', { 'size': 'normal', 'callback': (response) => { // reCAPTCHA solved, allow signInWithPhoneNumber. // ... }, 'expired-callback': () => { // Response expired. Ask user to solve reCAPTCHA again. // ... } });
Opsional: Merender reCAPTCHA di awal
Jika ingin merender reCAPTCHA di awal sebelum mengirimkan permintaan login,
panggil render
:
Web
recaptchaVerifier.render().then((widgetId) => { window.recaptchaWidgetId = widgetId; });
Web
recaptchaVerifier.render().then((widgetId) => { window.recaptchaWidgetId = widgetId; });
Setelah render
berhasil, Anda akan memperoleh ID widget reCAPTCHA yang
dapat digunakan untuk melakukan panggilan ke
reCAPTCHA API:
Web
const recaptchaResponse = grecaptcha.getResponse(recaptchaWidgetId);
Web
const recaptchaResponse = grecaptcha.getResponse(recaptchaWidgetId);
Mengirim kode verifikasi ke ponsel pengguna
Untuk memulai metode login dengan nomor telepon, tampilkan antarmuka yang akan meminta pengguna memasukkan nomor telepon, lalu panggil signInWithPhoneNumber
untuk meminta agar Firebase mengirimkan kode autentikasi ke ponsel pengguna melalui SMS:
-
Dapatkan nomor telepon pengguna.
Persyaratan hukum dapat berbeda-beda. Namun, sebagai praktik terbaik dan demi menetapkan ekspektasi pengguna, sebaiknya beri tahukan bahwa jika mereka menggunakan metode login melalui telepon, akan muncul pesan SMS berisi permintaan verifikasi dan pemberlakuan tarif standar.
- Panggil
signInWithPhoneNumber
, lalu teruskan ke nomor telepon pengguna danRecaptchaVerifier
yang Anda buat sebelumnya.Web
import { getAuth, signInWithPhoneNumber } from "firebase/auth"; const phoneNumber = getPhoneNumberFromUserInput(); const appVerifier = window.recaptchaVerifier; const auth = getAuth(); signInWithPhoneNumber(auth, phoneNumber, appVerifier) .then((confirmationResult) => { // SMS sent. Prompt user to type the code from the message, then sign the // user in with confirmationResult.confirm(code). window.confirmationResult = confirmationResult; // ... }).catch((error) => { // Error; SMS not sent // ... });
Web
const phoneNumber = getPhoneNumberFromUserInput(); const appVerifier = window.recaptchaVerifier; firebase.auth().signInWithPhoneNumber(phoneNumber, appVerifier) .then((confirmationResult) => { // SMS sent. Prompt user to type the code from the message, then sign the // user in with confirmationResult.confirm(code). window.confirmationResult = confirmationResult; // ... }).catch((error) => { // Error; SMS not sent // ... });
signInWithPhoneNumber
menampilkan error, reset reCAPTCHA agar pengguna dapat mencoba lagi:grecaptcha.reset(window.recaptchaWidgetId); // Or, if you haven't stored the widget ID: window.recaptchaVerifier.render().then(function(widgetId) { grecaptcha.reset(widgetId); });
Metode signInWithPhoneNumber
menampilkan tantangan reCAPTCHA
kepada pengguna. Jika pengguna berhasil memecahkannya, metode ini akan meminta agar
Firebase Authentication mengirimkan kode verifikasi ke ponsel pengguna
melalui SMS.
Memproses login pengguna dengan kode verifikasi
Setelah panggilan ke signInWithPhoneNumber
berhasil, minta pengguna mengetikkan kode verifikasi yang diterima melalui SMS. Kemudian, proses login dengan meneruskan kode tersebut ke metode confirm
objek ConfirmationResult
yang diteruskan ke pengendali fulfillment signInWithPhoneNumber
(yaitu blok then
-nya). Contoh:
Web
const code = getCodeFromUserInput(); confirmationResult.confirm(code).then((result) => { // User signed in successfully. const user = result.user; // ... }).catch((error) => { // User couldn't sign in (bad verification code?) // ... });
Web
const code = getCodeFromUserInput(); confirmationResult.confirm(code).then((result) => { // User signed in successfully. const user = result.user; // ... }).catch((error) => { // User couldn't sign in (bad verification code?) // ... });
Jika panggilan ke confirm
berhasil, pengguna berhasil
login.
Memperoleh objek AuthCredential menengah
Jika perlu mendapatkan objek AuthCredential
untuk akun pengguna, teruskan kode verifikasi dari hasil konfirmasi dan kode verifikasi ke PhoneAuthProvider.credential
, bukan memanggil confirm
:
var credential = firebase.auth.PhoneAuthProvider.credential(confirmationResult.verificationId, code);
Selanjutnya, Anda dapat memproses login pengguna dengan kredensial tersebut:
firebase.auth().signInWithCredential(credential);
Menguji dengan nomor telepon fiktif
Anda dapat menyiapkan nomor telepon fiktif untuk pengembangan melalui Firebase console. Pengujian dengan nomor telepon fiktif memberikan sejumlah manfaat berikut:
- Menguji autentikasi nomor telepon tanpa menghabiskan kuota penggunaan Anda.
- Menguji autentikasi nomor telepon tanpa benar-benar mengirim pesan SMS.
- Menjalankan pengujian berturut-turut dengan nomor telepon yang sama tanpa throttling. Tindakan ini meminimalkan risiko penolakan selama proses peninjauan App store jika peninjau kebetulan menggunakan nomor telepon yang sama untuk melakukan pengujian.
- Pengujian langsung di lingkungan pengembangan tanpa upaya tambahan, seperti kemampuan untuk melakukan pengembangan dalam simulator iOS atau emulator Android tanpa Layanan Google Play.
- Menulis pengujian integrasi tanpa diblokir oleh pemeriksaan keamanan yang biasanya diterapkan pada nomor telepon asli di lingkungan produksi.
Nomor telepon fiktif harus memenuhi persyaratan berikut:
- Pastikan nomor telepon yang digunakan benar-benar fiktif dan belum pernah ada. Firebase Authentication tidak mengizinkan nomor telepon yang memang ada dan digunakan oleh pengguna sungguhan sebagai nomor telepon pengujian. Salah satu opsinya adalah menggunakan nomor berawalan 555 sebagai nomor telepon pengujian di Amerika Serikat, misalnya: +1 650-555-3434
- Nomor telepon harus diformat dengan benar menurut batasan panjang dan batasan lainnya. Nomor telepon tersebut akan melalui validasi yang sama seperti nomor telepon pengguna sungguhan.
- Anda dapat menambahkan hingga 10 nomor telepon untuk proses pengembangan.
- Gunakan nomor telepon/kode pengujian yang sulit ditebak dan seringlah mengubahnya.
Membuat nomor telepon dan kode verifikasi fiktif
- Di Firebase console, buka bagian Authentication.
- Di tab Sign-in method, aktifkan penyedia Phone jika Anda belum melakukannya.
- Buka menu akordeon Phone numbers for testing.
- Berikan nomor telepon yang ingin Anda uji, misalnya: +1 650-555-3434.
- Sediakan kode verifikasi 6 digit untuk nomor tersebut, misalnya: 654321.
- Klik Add untuk menambahkan nomor telepon. Jika perlu, Anda dapat menghapus nomor telepon beserta kodenya dengan mengarahkan kursor ke baris yang sesuai dan mengklik ikon tempat sampah.
Pengujian manual
Anda dapat langsung mulai menggunakan nomor telepon fiktif dalam aplikasi. Dengan demikian, Anda bisa langsung melakukan pengujian manual selama tahap pengembangan tanpa mengalami masalah kuota atau throttling. Anda juga dapat menguji langsung dari simulator iOS atau emulator Android tanpa menginstal Layanan Google Play.
Ketika Anda memberikan nomor telepon fiktif dan mengirim kode verifikasi, sebenarnya tidak ada SMS yang dikirim. Sebagai gantinya, Anda harus memberikan kode verifikasi yang dikonfigurasi sebelumnya untuk menyelesaikan login.
Saat login selesai, pengguna Firebase dibuat dengan nomor telepon itu. Pengguna tersebut memiliki perilaku dan properti seperti halnya pengguna nomor telepon sungguhan dan dapat mengakses Realtime Database/Cloud Firestore serta layanan lainnya dengan cara yang sama. Token ID yang dibuat selama proses ini memiliki tanda tangan yang sama dengan pengguna nomor telepon sungguhan.
Pilihan lainnya adalah menetapkan peran pengujian melalui klaim kustom pada pengguna ini untuk membedakannya sebagai pengguna palsu, jika ingin membatasi akses lebih lanjut.
Pengujian integrasi
Selain pengujian manual, Firebase Authentication menyediakan API untuk membantu menulis pengujian integrasi untuk pengujian autentikasi ponsel. API ini menonaktifkan verifikasi aplikasi dengan menonaktifkan persyaratan reCAPTCHA di web dan notifikasi push senyap di iOS. Dengan demikian, pengujian otomatisasi dapat dilakukan dalam alur ini dan lebih mudah diimplementasikan. Selain itu, API ini memungkinkan pengujian alur verifikasi instan di Android.
Di web, setel appVerificationDisabledForTesting
ke true
sebelum merender firebase.auth.RecaptchaVerifier
. Tindakan ini akan menyelesaikan reCAPTCHA secara otomatis, sehingga memungkinkan Anda untuk meneruskan nomor telepon tanpa harus menyelesaikannya secara manual. Perlu diperhatikan bahwa penggunaan nomor telepon asli akan tetap menggagalkan proses login meskipun reCAPTCHA dinonaktifkan. Hanya nomor telepon fiktif yang dapat digunakan dengan API ini.
// Turn off phone auth app verification. firebase.auth().settings.appVerificationDisabledForTesting = true; var phoneNumber = "+16505554567"; var testVerificationCode = "123456"; // This will render a fake reCAPTCHA as appVerificationDisabledForTesting is true. // This will resolve after rendering without app verification. var appVerifier = new firebase.auth.RecaptchaVerifier('recaptcha-container'); // signInWithPhoneNumber will call appVerifier.verify() which will resolve with a fake // reCAPTCHA response. firebase.auth().signInWithPhoneNumber(phoneNumber, appVerifier) .then(function (confirmationResult) { // confirmationResult can resolve with the fictional testVerificationCode above. return confirmationResult.confirm(testVerificationCode) }).catch(function (error) { // Error; SMS not sent // ... });
Pemverifikasi aplikasi reCAPTCHA fiktif yang terlihat dan tidak terlihat berperilaku berbeda ketika verifikasi aplikasi dinonaktifkan:
- reCAPTCHA Terlihat: Ketika dirender melalui
appVerifier.render()
, reCAPTCHA terlihat akan otomatis selesai dengan sendirinya setelah penundaan sepersekian detik. Hal ini sama seperti pengguna langsung mengklik reCAPTCHA setelah rendering. Masa berlaku respons reCAPTCHA akan berakhir setelah beberapa waktu, kemudian reCAPTCHA akan diselesaikan secara otomatis lagi. - reCAPTCHA Tidak Terlihat: reCAPTCHA tidak terlihat tidak melakukan penyelesaian otomatis pada proses rendering, tetapi melakukannya saat pemanggilan
appVerifier.verify()
atau ketika anchor tombol reCAPTCHA diklik setelah penundaan sepersekian detik. Demikian pula, masa berlaku respons akan berakhir setelah beberapa waktu dan reCAPTCHA hanya akan melakukan penyelesaian otomatis setelah pemanggilanappVerifier.verify()
atau saat anchor tombol reCAPTCHA diklik lagi.
Setiap kali reCAPTCHA fiktif terselesaikan, fungsi callback yang sesuai dipicu seperti yang diharapkan dengan respons palsu. Jika ditentukan, callback akhir masa berlaku akan terpicu pada akhir masa berlaku.
Langkah berikutnya
Setelah pengguna login untuk pertama kalinya, akun pengguna baru akan dibuat dan ditautkan ke kredensial, yaitu nama pengguna dan sandi, nomor telepon, atau informasi penyedia autentikasi, yang digunakan pengguna tersebut untuk login. Akun baru ini disimpan sebagai bagian dari project Firebase Anda, dan dapat digunakan untuk mengidentifikasi pengguna di setiap aplikasi dalam project, terlepas dari cara pengguna login.
-
Di aplikasi Anda, cara yang direkomendasikan untuk mengetahui status autentikasi pengguna adalah dengan menetapkan observer pada objek
Auth
. Selanjutnya, Anda bisa mendapatkan informasi profil dasar pengguna dari objekUser
. Baca bagian Mengelola Pengguna. Di Aturan Keamanan Firebase Realtime Database dan Cloud Storage, Anda bisa mendapatkan ID pengguna unik milik pengguna yang login dari variabel
auth
, dan menggunakannya untuk mengontrol data yang dapat diakses oleh pengguna.
Anda dapat mengizinkan pengguna untuk login ke aplikasi menggunakan beberapa penyedia autentikasi dengan menautkan kredensial penyedia autentikasi ke akun pengguna yang ada.
Untuk memproses logout pengguna, panggil
signOut
:
Web
import { getAuth, signOut } from "firebase/auth"; const auth = getAuth(); signOut(auth).then(() => { // Sign-out successful. }).catch((error) => { // An error happened. });
Web
firebase.auth().signOut().then(() => { // Sign-out successful. }).catch((error) => { // An error happened. });