Richiedi la verifica tramite SMS in un'app Android

Per verificare automaticamente i numeri di telefono, è necessario implementare sia la parte client che quella server del flusso di verifica. Questo documento descrive come implementare la parte client in un'app Android.

Per avviare il flusso di verifica del numero di telefono in un'app Android, devi inviare il numero di telefono al server di verifica e chiamare l'API SMS Retriever per iniziare ad ascoltare un messaggio SMS contenente un codice monouso per la tua app. Dopo aver ricevuto il messaggio, invii il codice monouso al server per completare il processo di verifica.

Prima di iniziare

Per preparare la tua app, completa i passaggi nelle sezioni seguenti.

Prerequisiti dell'app

Assicurati che il file di build della tua app utilizzi i seguenti valori:

  • Una versione minSdk di 19 o superiore
  • Una compileSdkVersion di 28 o superiore

Configura la tua app

Nel tuo file build.gradle a livello di progetto, includi il repository Maven di Google e il repository centrale Maven nelle sezioni buildscript e allprojects :

buildscript {
    repositories {
        google()
        mavenCentral()
    }
}

allprojects {
    repositories {
        google()
        mavenCentral()
    }
}

Aggiungi la dipendenza dei servizi di Google Play per l'API SMS Retriever al file di build Gradle del tuo modulo , che è comunemente app/build.gradle :

dependencies {
  implementation 'com.google.android.gms:play-services-auth:20.0.1'
  implementation 'com.google.android.gms:play-services-auth-api-phone:18.0.1'
}

1. Ottenere il numero di telefono dell'utente

Puoi ottenere il numero di telefono dell'utente in qualsiasi modo sia appropriato per la tua app. Spesso, è la migliore esperienza utente utilizzare il selettore di suggerimenti per richiedere all'utente di scegliere tra i numeri di telefono memorizzati sul dispositivo ed evitare così di dover digitare manualmente un numero di telefono. Per utilizzare il selettore di suggerimenti:

// Construct a request for phone numbers and show the picker
private void requestHint() {
    HintRequest hintRequest = new HintRequest.Builder()
           .setPhoneNumberIdentifierSupported(true)
           .build();

    PendingIntent intent = Auth.CredentialsApi.getHintPickerIntent(
            apiClient, hintRequest);
    startIntentSenderForResult(intent.getIntentSender(),
            RESOLVE_HINT, null, 0, 0, 0);
}

// Obtain the phone number from the result
@Override
public void onActivityResult(int requestCode, int resultCode, Intent data) {
  super.onActivityResult(requestCode, resultCode, data);
  if (requestCode == RESOLVE_HINT) {
      if (resultCode == RESULT_OK) {
          Credential credential = data.getParcelableExtra(Credential.EXTRA_KEY);
          // credential.getId();  <-- will need to process phone number string
      }
  }
}

2. Avviare il recuperatore di SMS

Quando sei pronto per verificare il numero di telefono dell'utente, ottieni un'istanza dell'oggetto SmsRetrieverClient , chiama startSmsRetriever e allega listener di successo e errore all'attività di recupero SMS:

// Get an instance of SmsRetrieverClient, used to start listening for a matching
// SMS message.
SmsRetrieverClient client = SmsRetriever.getClient(this /* context */);

// Starts SmsRetriever, which waits for ONE matching SMS message until timeout
// (5 minutes). The matching SMS message will be sent via a Broadcast Intent with
// action SmsRetriever#SMS_RETRIEVED_ACTION.
Task<Void> task = client.startSmsRetriever();

// Listen for success/failure of the start Task. If in a background thread, this
// can be made blocking using Tasks.await(task, [timeout]);
task.addOnSuccessListener(new OnSuccessListener<Void>() {
  @Override
  public void onSuccess(Void aVoid) {
    // Successfully started retriever, expect broadcast intent
    // ...
  }
});

task.addOnFailureListener(new OnFailureListener() {
  @Override
  public void onFailure(@NonNull Exception e) {
    // Failed to start retriever, inspect Exception for more details
    // ...
  }
});

L'attività di recupero degli SMS ascolterà per un massimo di cinque minuti un messaggio SMS che contiene una stringa univoca che identifica la tua app.

3. Invia il numero di telefono al tuo server

Dopo aver ottenuto il numero di telefono dell'utente e aver iniziato ad ascoltare i messaggi SMS, invia il numero di telefono dell'utente al server di verifica utilizzando qualsiasi metodo (di solito con una richiesta HTTPS POST).

Il tuo server genera un messaggio di verifica e lo invia tramite SMS al numero di telefono che hai specificato. Vedere Eseguire la verifica tramite SMS sul server .

4. Ricevi messaggi di verifica

Quando viene ricevuto un messaggio di verifica sul dispositivo dell'utente, Play Services trasmette esplicitamente alla tua app un intento SmsRetriever.SMS_RETRIEVED_ACTION , che contiene il testo del messaggio. Utilizza un BroadcastReceiver per ricevere questo messaggio di verifica.

Nel gestore onReceive di BroadcastReceiver , ottieni il testo del messaggio di verifica dagli extra dell'intento:

/**
 * BroadcastReceiver to wait for SMS messages. This can be registered either
 * in the AndroidManifest or at runtime.  Should filter Intents on
 * SmsRetriever.SMS_RETRIEVED_ACTION.
 */
public class MySMSBroadcastReceiver extends BroadcastReceiver {

  @Override
  public void onReceive(Context context, Intent intent) {
    if (SmsRetriever.SMS_RETRIEVED_ACTION.equals(intent.getAction())) {
      Bundle extras = intent.getExtras();
      Status status = (Status) extras.get(SmsRetriever.EXTRA_STATUS);

      switch(status.getStatusCode()) {
        case CommonStatusCodes.SUCCESS:
          // Get SMS message contents
          String message = (String) extras.get(SmsRetriever.EXTRA_SMS_MESSAGE);
          // Extract one-time code from the message and complete verification
          // by sending the code back to your server.
          break;
        case CommonStatusCodes.TIMEOUT:
          // Waiting for SMS timed out (5 minutes)
          // Handle the error ...
          break;
      }
    }
  }
}

Registra questo BroadcastReceiver con il filtro intent com.google.android.gms.auth.api.phone.SMS_RETRIEVED (il valore della costante SmsRetriever.SMS_RETRIEVED_ACTION ) e l'autorizzazione com.google.android.gms.auth.api.phone.permission.SEND (il valore della costante SmsRetriever.SEND_PERMISSION ) nel file AndroidManifest.xml della tua app, come nell'esempio seguente, o in modo dinamico usando Context.registerReceiver .

<receiver android:name=".MySMSBroadcastReceiver" android:exported="true"
          android:permission="com.google.android.gms.auth.api.phone.permission.SEND">
    <intent-filter>
        <action android:name="com.google.android.gms.auth.api.phone.SMS_RETRIEVED"/>
    </intent-filter>
</receiver>

5. Invia il codice monouso dal messaggio di verifica al tuo server

Ora che hai il testo del messaggio di verifica, usa un'espressione regolare o qualche altra logica per ottenere il codice monouso dal messaggio. Il formato del codice monouso dipende da come li hai implementati nel tuo server.

Infine, invia il codice monouso al tuo server tramite una connessione sicura. Quando il tuo server riceve il codice monouso, registra che il numero di telefono è stato verificato.

Opzionale: salva il numero di telefono con Smart Lock for Passwords

Facoltativamente, dopo che l'utente ha verificato il proprio numero di telefono, è possibile richiedere all'utente di salvare l'account di questo numero di telefono con Smart Lock for Passwords in modo che sia disponibile automaticamente in altre app e su altri dispositivi senza dover digitare o selezionare nuovamente il numero di telefono :

Credential credential = new Credential.Builder(phoneNumberString)
        .setAccountType("https://signin.example.com")  // a URL specific to the app
        .setName(displayName)  // optional: a display name if available
        .build();
Auth.CredentialsApi.save(apiClient, credential).setResultCallback(
            new ResultCallback() {
                public void onResult(Result result) {
                    Status status = result.getStatus();
                    if (status.isSuccess()) {
                        Log.d(TAG, "SAVE: OK");  // already saved
                    } else if (status.hasResolution()) {
                        // Prompt the user to save
                        status.startResolutionForResult(this, RC_SAVE);
                    }
                }
            });

Quindi, dopo che l'utente ha reinstallato l'app o l'ha installata su un nuovo dispositivo, puoi recuperare il numero di telefono salvato senza dover chiedere nuovamente all'utente il numero di telefono:

// On the next install, retrieve the phone number
mCredentialRequest = new CredentialRequest.Builder()
    .setAccountTypes("https://signin.example.com")  // the URL specific to the developer
    .build();
Auth.CredentialsApi.request(apiClient, mCredentialRequest).setResultCallback(
    new ResultCallback<CredentialRequestResult>() {
        public void onResult(CredentialRequestResult credentialRequestResult) {
            if (credentialRequestResult.getStatus().isSuccess()) {
                credentialRequestResult.getCredential().getId();  // this is the phone number
            }
        }
    });

// Then, initiate verification and sign the user in (same as original verification logic)