Firebase REST API使用电话号码进行身份验证

Question

我正在使用PAW尝试测试Firebase部署的不同云功能。该应用程序使用电话身份验证，但是目前几乎没有关于如何通过REST API完成电话号码身份验证的文档。

我已按照此处的说明将电话号码列入白名单进行测试。

看来我需要做的是调用verifyPhoneNumber方法，我拼凑出我需要的REST API端点格式为：

https://www.googleapis.com/identitytoolkit/v3/relyingparty/verifyPhoneNumber?key={WEB_API_KEY}

现在，我遇到的问题是尝试传递期望的数据。看起来此端点期望一个phoneNumber和applicationVerifier对象。我从这里的相应文档中整理了这些内容。

我尝试发出如下请求：

POST /identitytoolkit/v3/relyingparty/verifyPhoneNumber?key={WEB_API_KEY}
Content-Type: application/json; charset=utf-8
Host: www.googleapis.com
Connection: close
User-Agent: Paw/3.1.7 (Macintosh; OS X/10.13.6) GCDHTTPRequest
Content-Length: 73

{"phoneNumber":"+18035551111","applicationVerifier":{"type":"recaptcha"}}

我收到的回复是：

HTTP/1.1 400 Bad Request
Vary: X-Origin
Vary: Referer
Content-Type: application/json; charset=UTF-8
Date: Thu, 13 Sep 2018 16:35:33 GMT
Server: ESF
Cache-Control: private
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Alt-Svc: quic=":443"; ma=2592000; v="44,43,39,35"
Accept-Ranges: none
Vary: Origin,Accept-Encoding
Connection: close

{
  "error": {
    "code": 400,
    "message": "MISSING_SESSION_INFO",
    "errors": [
      {
        "message": "MISSING_SESSION_INFO",
        "domain": "global",
        "reason": "invalid"
      }
    ]
  }
}

我不确定这时我在做错什么，因为我用完了文档，现在只是盲目猜测参数。如何通过REST API通过列入白名单的电话号码进行身份验证以进行测试？

Answer 1

经过大量研究（我正在努力为“使用电话登录”流程创建自动化测试），我终于根据@Danut Pralea的答案找到了解决方案。希望它对未来的人们有所帮助:)

考虑到您的电话号码已列入白名单（如问题中所述），第一步是调用 firebase 发送验证码：

POST /v1/accounts:sendVerificationCode?key={WEB_API_KEY} HTTP/1.1
Host: identitytoolkit.googleapis.com:443
Content-Type: application/json
Content-Length: 39

{
    "phoneNumber": "{PHONE_NUMBER}"
}

响应将是sessionInfo，如下所示：

{
    "sessionInfo": "ALiwoWJhYJgtFav1DKc0yBoTwcjjiyQNu240eDJ76GmlH-2i3RmHAYamaPkx3rjEmOBcgrua5QfLw8Nrn_QwjVPO6N09fYsiWQha0-5o2Jb5Hwqxkw7qwsl6YK0gotZ16HmiwqJkyd-stAXTVU1ZIBUwfrFqZmFY7g"
}

然后，下一步是在 firebase 中使用代码（与白名单中使用的相同）和会话信息登录：

POST /v1/accounts:signInWithPhoneNumber?key={WEB_API_KEY} HTTP/1.1
Host: identitytoolkit.googleapis.com:443
Content-Type: application/json
Content-Length: 207

{
    "sessionInfo": "ALiwoWJhYJgtFav1DKc0yBoTwcjjiyQNu240eDJ76GmlH-2i3RmHAYamaPkx3rjEmOBcgrua5QfLw8Nrn_QwjVPO6N09fYsiWQha0-5o2Jb5Hwqxkw7qwsl6YK0gotZ16HmiwqJkyd-stAXTVU1ZIBUwfrFqZmFY7g",
    "code": 123456
}

就是这样！响应将类似于：

{
    "idToken": "idToken",
    "refreshToken": "refreshToken",
    "expiresIn": "3600",
    "localId": "localId",
    "isNewUser": false,
    "phoneNumber": "{PHONE_NUMBER}"
}

官方文档中的更多信息：https://cloud.google.com/identity-platform/docs/reference/rest/v1/accounts

Answer 2

1. 创建您的验证码请求（这key是一个环境变量）

2. （但这是可选的）使会话信息成为正文响应动态值

3. 创建您的验证电话号码请求

4. （再次，可选）使idToken也是一个身体响应动态值

5. idToken在您对 Firebase 执行的任何其他后续请求中使用动态值

将变量添加为身体响应动态值的最佳部分是您可以将它们链接起来并按顺序调用它们：

Answer 3

对于 REST API POST，您必须传递reCAPTCHA 令牌，而不是您要传递的验证码对象。创建RecaptchaVerifier时可以在回调函数中获取token

        window.recaptchaVerifier = new firebase.auth.RecaptchaVerifier('my_btn', {
            'size': 'invisible',
            'callback': function(response) {
                // reCAPTCHA solved, allow signInWithPhoneNumber.
                recaptchaToken = response;
                .....
            }
        });            

这篇文章帮助了我 - https://medium.com/@shangyilim/verifying-phone-numbers-with-firebase-phone-authentication-on-your-backend-for-free-7a9bef326d02