Firebase Phone認証を無効にする方法Android自動サインイン（onVerificationCompletedコールバック）

Question

Firebase Phone AuthでAndroidの「インスタント認証」（自動サインイン）を無効にする方法はありますか？ verifyPhoneNumberのタイムアウトを0（参照：https://firebase.google.com/docs/reference/android/com/google/firebase/auth/PhoneAuthProvider.html）に設定することによって、「自動検索」を無効にする方法があります。しかし私は瞬時の検証を無効にするための文書化された方法を見つけることができません。

潜在的なセキュリティ上の問題のため、私は尋ねています：SIMカードをデバイスから取り外しても、そのユーザーは自動サインインします！つまり、別の人の古いデバイスを使用しているユーザーは、古い電話番号を使用してサインインすることができます。ここでは再生手順は次のとおりです。

• 機能SIMカード
これがトリガーとなるSIMカード
• に関連付けられた番号使用中
• ログイン自動サインインしてデバイス上で、Androidの上にある
• ターンデバイスをオフにサインアウトし、SIMカードの背中を
• ターンデバイスを削除し、その同じ番号

でログインする試み0

観察された行動： ユーザーが

期待される動作適切なSIMカードを持っていないにも関わらず、で、自動署名されている：ユーザーのデバイスは、彼らが、入力した電話番号に関連付けられているSIMカードを持っていない場合 自動的にサインインされず、その番号にSMSテキストメッセージが送信されます。

Answer 1

アップデート、11.5.09はほぼすべてのユーザーのデバイスに届きました。インスタント検証は、SIMカードの変更後に停止されます。また、このトリックを手動テストの目的で使用することもできます。後半Q3を予定し、今後のGoogle Playサービスv11.5のリリースで

---

、SIMカードの変更は、自動検出作業から瞬時に検証を停止しますとなります。新しいリリースはユーザーのデバイスに自動プッシュされ、SDKの変更は不要です。

最高のUXとオプトインレートを得るには、恐怖のランタイムアクセス権を自分で追加するのではなく、Playサービスの更新を待つ方がいいです（電話番号を読み、比較する）。お待ち頂きまして、ありがとうございます！

Answer 2

あなたはこれにより、デバイスで使用する電話番号を取得することができます。

TelephonyManager tMgr = (TelephonyManager)mAppContext.getSystemService(Context.TELEPHONY_SERVICE); 
String mPhoneNumber = tMgr.getLine1Number(); 

し、必要な権限を追加します

<uses-permission android:name="android.permission.READ_PHONE_STATE"/> 

は、このようなFirebaseAuthから電話番号を取得する：

String number = FirebaseAuth.getInstance().getCurrentUser().getPhoneNumber(); 

それらの間で比較しても大丈夫なら、それ以外の場合はを使用してSMSを送信してくださいまたはそのようなサービス

Answer 3

残念ながらthere isn't a way to disable Instant Verification現時点ではと思われます。

devsにこの機能（実際にはdifferent reason）を追加するように頼んだ後、私はit will be added to the feature requestと答えました。

おそらく、セキュリティの発見を指定してコメントを追加する必要があります。 この機能を追加する処理が高速化されるかもしれません:)