服务器端Firebase + PHP的电话验证验证

当用户首次使用其电话号码成功进行身份验证时，电话号码将存储在Firebase身份验证用户列表中的用户记录中，并且可以视为已验证。

一旦电话号码与您的Auth数据库中的用户相关联，您就可以确定

• 电话号码有效
• 电话号码已成功用于在该号码与所述用户相关联的时间点对用户进行认证
• 电话号码无法与其他用户关联

您不应该假设此电话号码现在已“验证”。如官方Firebase文档页面中所述：

安全问题

仅使用电话号码进行认证虽然方便，但与其他可用方法相比安全性较低，因为可以在用户之间轻松转移拥有电话号码。此外，在具有多个用户配置文件的设备上，任何可以接收SMS消息的用户都可以使用设备的电话号码登录帐户。

如果您在应用中使用基于电话号码的登录，则应提供更安全的登录方式，并告知用户使用电话号码登录的安全权衡。

资料来源：https://firebase.google.com/docs/auth/web/phone-auth#security-concerns

PS：向用户添加电话号码的唯一方法是通过管理员SDK，此时您有责任确保电话号码属于用户。

PSS：据我所知（并已检查），Firebase REST API不会公开“已验证的电话号码”信息。