在應用程式中加入 App Check 程式庫後,但啟用 App Check 強制執行功能前,請先確認啟用該功能不會中斷現有合法使用者的服務。
您可以使用應用程式檢查要求指標,做為這項決策的重要工具。您可以在 Google API Console 或 Firebase 控制台中監控 App Check 指標。
在 Google API Console中監控指標
如要查看 iOS OAuth 用戶端的指標,請前往「憑證」頁面,然後點選用戶端進入編輯檢視畫面。您會在「Google Identity for iOS」部分下方的頁面右側,看到相關指標。這些指標會顯示 App Check 要求指標。這些指標包括下列資訊:
- 已驗證的要求數:具備有效 App Check 權杖的要求。啟用 App Check 強制執行功能後,只有這類要求會成功。
- 未經驗證的要求數量:可能過時的用戶端要求 - 缺少 App Check 權杖的要求;這些要求可能來自不含 App Check 實作項目的舊版應用程式。
- 未經驗證的要求數量:來源未知的要求 - 不具備 App Check 權杖的要求,且看起來不像是來自您的應用程式。
- 未經驗證的要求數:無效要求 - 具備無效 App Check 權杖的要求,可能來自模擬環境,或是試圖冒用您應用程式的偽造用戶端。
在 Firebase 控制台中監控指標
您可以查看專案的整體指標,或個別 OAuth 用戶端的指標:
如要查看專案的應用程式檢查要求指標,請開啟 Firebase 控制台的「應用程式檢查」部分,然後展開「適用於 iOS 的 Google Identity」部分。例如:
如要查看特定 OAuth 用戶端的 App Check 要求指標,請開啟 Firebase 控制台的「OAuth 用戶端」頁面,然後展開對應的用戶端部分。
要求指標分為四類:
「已驗證」要求是指具備有效 App Check 權杖的要求。啟用 App Check 強制執行後,只有這類要求會成功。
過時的用戶端要求是指缺少 App Check 權杖的要求。這些要求可能來自舊版 Firebase SDK,也就是應用程式採用 App Check 前的版本。
來源不明的要求是指不具備 App Check 權杖,且看起來不像是來自 Firebase SDK 的要求。這些要求可能是使用遭竊的 API 金鑰所發出,也可能是未透過 Firebase SDK 發出的偽造要求。
無效要求是指具備無效 App Check 權杖的要求,可能來自模擬環境,或是試圖冒用您應用程式的偽造用戶端。
應用程式的這些類別分布情況,應做為您決定是否啟用強制執行的依據。以下提供部分準則:
如果近期幾乎所有要求都來自已驗證的用戶端,建議啟用強制執行功能,開始保護驗證端點。
如果近期有大量要求來自可能過時的用戶端,為避免影響使用者,建議您等待更多使用者更新應用程式,再啟用強制執行。對已發布的應用程式強制執行 App Check,會導致未整合 App Check SDK 的舊版應用程式無法運作。
如果應用程式尚未推出,您應立即啟用應用程式檢查強制執行功能,因為目前沒有任何過時的用戶端正在使用。
後續步驟
瞭解 App Check 對使用者的影響後,即可啟用 App Check 強制執行功能。