Penting: Mulai
1 Mei 2024, Apple
memerlukan Manifes Privasi dan tanda tangan untuk aplikasi iOS yang menggunakan SDK yang umum digunakan, termasuk GoogleSignIn-iOS. Upgrade ke GoogleSignIn-iOS v7.1.0+ sebelum 1 Mei 2024. Ikuti
panduan upgrade kami.
Memantau metrik permintaan App Check
Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Setelah Anda menambahkan library App Check ke aplikasi, sebaiknya pastikan bahwa pengguna sah yang sudah ada tidak akan terganggu sebelum Anda mengaktifkan penerapan App Check.
Alat penting yang dapat Anda gunakan untuk membuat keputusan ini adalah metrik permintaan App Check. Anda dapat memantau metrik App Check di
Google API Console atau Firebase Console.
Memantau Metrik di Google API Console
Untuk melihat metrik klien OAuth iOS, buka tampilan edit klien di halaman Kredensial. Di sana, Anda akan melihat metrik di sebelah kanan halaman di bagian Google Identity for iOS. Metrik ini akan menampilkan metrik permintaan App Check Anda. Metrik ini mencakup informasi berikut:
-
Jumlah permintaan terverifikasi - permintaan yang memiliki token App Check yang valid. Setelah Anda
mengaktifkan penerapan App Check, hanya permintaan dalam kategori ini yang akan berhasil.
-
Jumlah permintaan yang tidak diverifikasi: kemungkinan permintaan klien sudah lama - permintaan yang tidak memiliki token App Check; permintaan ini mungkin berasal dari versi lama aplikasi Anda yang tidak menyertakan implementasi App Check.
-
Jumlah permintaan yang tidak diverifikasi: permintaan dengan asal yang tidak diketahui - permintaan yang tidak memiliki token App Check dan sepertinya tidak berasal dari aplikasi Anda.
-
Jumlah permintaan yang tidak diverifikasi: permintaan tidak valid - permintaan dengan token App Check
yang tidak valid, yang mungkin berasal dari klien palsu yang mencoba meniru aplikasi Anda, atau dari
lingkungan yang diemulasikan.
Memantau Metrik di Firebase Console
Anda dapat melihat metrik untuk project secara keseluruhan, atau untuk setiap klien OAuth:
Untuk melihat metrik permintaan App Check untuk project Anda, buka bagian App Check di Firebase console dan perluas bagian Google Identity for iOS. Contoh:
Untuk melihat metrik permintaan App Check untuk klien OAuth tertentu, buka halaman OAuth clients di Firebase console dan luaskan bagian yang sesuai dengan klien.
Metrik permintaan dibagi menjadi empat kategori:
Permintaan verified adalah permintaan yang memiliki token App Check yang valid. Setelah Anda mengaktifkan penerapan App Check, hanya permintaan dalam kategori ini yang akan berhasil.
Permintaan outdated client adalah permintaan yang tidak memiliki token App Check. Permintaan ini mungkin berasal dari versi lama Firebase SDK sebelum App Check disertakan dalam aplikasi.
Permintaan unknown origin adalah permintaan yang tidak memiliki token App Check
dan sepertinya tidak berasal dari Firebase SDK. Permintaan ini mungkin berasal dari permintaan yang dibuat dengan kunci API curian atau permintaan palsu yang dibuat tanpa Firebase SDK.
Permintaan invalid adalah permintaan yang memiliki token App Check yang tidak valid,
yang mungkin berasal dari klien tidak sah yang mencoba meniru aplikasi Anda atau dari lingkungan yang diemulasikan.
Distribusi kategori ini untuk aplikasi Anda akan memberikan informasi yang berguna saat Anda memutuskan untuk mengaktifkan penerapan. Berikut ini beberapa panduannya:
Jika hampir semua permintaan terbaru berasal dari klien terverifikasi, pertimbangkan
untuk mengaktifkan penerapan agar dapat mulai melindungi endpoint autentikasi Anda.
Jika cukup banyak permintaan terbaru berasal dari klien yang kemungkinan merupakan outdated client, agar tidak mengganggu pengguna, sebaiknya tunggu lebih banyak pengguna mengupdate aplikasi Anda sebelum penerapan diaktifkan. Penerapan App Check pada aplikasi yang telah dirilis akan merusak versi aplikasi sebelumnya yang tidak terintegrasi dengan App Check SDK.
Jika aplikasi Anda belum diluncurkan, sebaiknya segera aktifkan penerapan App Check karena belum ada outdated client pada tahap ini.
Langkah berikutnya
Setelah memahami pengaruh App Check terhadap pengguna dan siap melanjutkan, Anda dapat mengaktifkan penerapan App Check.
Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2025-08-31 UTC.
[null,null,["Terakhir diperbarui pada 2025-08-31 UTC."],[[["\u003cp\u003eBefore enforcing App Check, monitor its request metrics to understand its potential impact on existing users, particularly those using older app versions.\u003c/p\u003e\n"],["\u003cp\u003eApp Check metrics categorize requests into verified, outdated client, unknown origin, and invalid, helping you assess the risk of disrupting legitimate users.\u003c/p\u003e\n"],["\u003cp\u003eIf most requests are verified, consider enabling enforcement; if significant outdated client requests exist, wait for more users to update their app first.\u003c/p\u003e\n"],["\u003cp\u003eFor newly launched apps without existing users, enable App Check enforcement immediately to ensure security from the start.\u003c/p\u003e\n"],["\u003cp\u003eUse the Google API Console or Firebase Console to monitor App Check metrics and make informed decisions about enforcement timing.\u003c/p\u003e\n"]]],[],null,["After you add the App Check library to your app, but before you enable\nApp Check enforcement, you should make sure that doing so won't disrupt your\nexisting legitimate users.\n\nAn important tool you can use to make this decision are App Check\nrequest metrics. You can monitor App Check metrics in the\n[Google API Console](#monitor_metrics_in_the_google_cloud_console) or the [Firebase Console](#monitor_metrics_in_the_firebase_console).\n\nMonitor Metrics in the Google API Console\n\nTo view metrics for your iOS OAuth client, navigate to the edit view of the\nclient in the [Credentials page](https://console.cloud.google.com/apis/credentials). There, you will see metrics to the\nright of the page under the **Google Identity for iOS** section. These metrics\nwill show you your App Check request metrics. The metrics include the\nfollowing information:\n\n- **Number of verified requests** - requests that have a valid App Check token. After you enable App Check enforcement, only requests in this category will succeed.\n- **Number of unverified requests: likely outdated client requests** - requests missing an App Check token; these request may be from an older version of your app that doesn't include an App Check implementation.\n- **Number of unverified requests: unknown origin requests** - requests missing an App Check token that don't look like they are coming from your app.\n- **Number of unverified requests: invalid requests** - requests with an invalid App Check token, which may be from an inauthentic client attempting to impersonate your app, or from emulated environments.\n\nMonitor Metrics in the Firebase Console\n\nYou can view metrics for your projects as a whole, or\nfor individual OAuth clients:\n\n- To view the App Check request metrics for your project, open the\n [App Check](https://console.firebase.google.com/project/_/appcheck) section of the Firebase console and expand the\n **Google Identity for iOS** section. For example:\n\n- To view the App Check request metrics for a specific OAuth client, open the\n [OAuth clients](https://console.firebase.google.com/project/_/appcheck/products/oauth) page of the Firebase console and\n expand the section corresponding to the client.\n\nThe request metrics are broken down into four categories:\n\n- **Verified** requests are those that have a valid App Check token. After\n you enable App Check enforcement, only requests in this category will\n succeed.\n\n- **Outdated client** requests are those that are missing an App Check\n token. These requests might be from an older version of the Firebase SDK\n before App Check was included in the app.\n\n- **Unknown origin** requests are those that are missing an App Check token,\n and don't look like they come from the Firebase SDK. These might be from\n requests made with stolen API keys or forged requests made without the\n Firebase SDK.\n\n- **Invalid** requests are those that have an invalid\n App Check token, which might be from an inauthentic client attempting to\n impersonate your app, or from emulated environments.\n\nThe distribution of these categories for your app should inform when you decide\nto enable enforcement. Here are some guidelines:\n\n- If almost all of the recent requests are from verified clients, consider\n enabling enforcement to start protecting your auth endpoints.\n\n- If a significant portion of the recent requests are from likely-outdated\n clients, to avoid disrupting users, consider waiting for more users to update\n your app before enabling enforcement. Enforcing App Check on a released\n app will break prior app versions that are not integrated with the\n App Check SDK.\n\n- If your app hasn't launched yet, you should enable App Check enforcement\n immediately, since there aren't any outdated clients in use.\n\nNext steps\n\nWhen you understand how App Check will affect your users and you're ready to\nproceed, you can [enable App Check enforcement](/identity/sign-in/ios/appcheck/enable-enforcement)."]]
