Important: Depuis le
1er mai 2024, Apple
exige des fichiers manifestes et des signatures de confidentialité pour les applications iOS qui utilisent des SDK courants, y compris GoogleSignIn-iOS. Passez à GoogleSignIn-iOS 7.1.0 (ou version ultérieure) avant le 1er mai 2024. Suivez notre
guide de mise à jour.
Surveiller les métriques des requêtes App Check
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Après avoir ajouté la bibliothèque App Check à votre application, mais avant d'activer l'application App Check, vous devez vous assurer que cela ne perturbera pas vos utilisateurs légitimes existants.
Les métriques de requête App Check sont un outil important qui peut vous aider à prendre cette décision. Vous pouvez surveiller les métriques App Check dans Google API Console ou dans la console Firebase.
Surveiller les métriques dans Google API Console
Pour afficher les métriques de votre client OAuth iOS, accédez à la vue d'édition du client sur la page Identifiants. Vous y trouverez des métriques à droite de la page, dans la section Google Identity pour iOS. Ces métriques vous permettent de consulter les métriques des requêtes App Check. Les métriques incluent les informations suivantes :
-
Nombre de requêtes validées : requêtes associées à un jeton App Check valide. Une fois que vous avez activé l'application App Check, seules les requêtes de cette catégorie aboutiront.
-
Nombre de requêtes non validées : requêtes provenant probablement de clients obsolètes : requêtes non associées à un jeton App Check. Elles peuvent provenir d'une ancienne version de votre application qui n'inclut pas d'implémentation App Check.
-
Nombre de requêtes non validées : requêtes d'origine inconnue : requêtes non associées à un jeton App Check qui ne semblent pas provenir de votre application.
-
Nombre de requêtes non validées : requêtes non valides : requêtes associées à un jeton App Check non valide, qui peuvent provenir d'un client non authentique tentant de se faire passer pour votre application, ou d'environnements d'émulation.
Surveiller les métriques dans la console Firebase
Vous pouvez afficher les métriques pour vos projets dans leur ensemble ou pour des clients OAuth individuels :
Pour afficher les métriques des requêtes App Check pour votre projet, ouvrez la section App Check de la console Firebase et développez la section Google Identity pour iOS. Exemple :
Pour afficher les métriques des requêtes App Check pour un client OAuth spécifique, ouvrez la page Clients OAuth de la console Firebase et développez la section correspondant au client.
Les métriques de requête sont réparties en quatre catégories :
Les requêtes validées sont celles qui disposent d'un jeton App Check valide. Une fois l'application App Check activée, seules les requêtes de cette catégorie aboutiront.
Les requêtes de clients obsolètes sont celles qui ne comportent pas de jeton App Check. Ces requêtes peuvent provenir d'une ancienne version du SDK Firebase n'intégrant pas encore App Check.
Les requêtes d'origine inconnue sont celles qui ne sont pas associées à un jeton App Check et qui ne semblent pas provenir du SDK Firebase. Il peut s'agir de requêtes effectuées avec des clés API volées ou de requêtes falsifiées effectuées sans le SDK Firebase.
Les requêtes non valides sont celles qui sont associées à un jeton App Check non valide. Elles peuvent provenir d'un client non authentique tentant de se faire passer pour votre application, ou d'environnements d'émulation.
La répartition de ces catégories pour votre application devrait vous aider à décider quand activer l'application des règles. Voici quelques consignes :
Si la quasi-totalité des requêtes récentes proviennent de clients validés, envisagez d'activer l'application pour commencer à protéger vos points de terminaison d'authentification.
Si une partie importante des requêtes récentes provient de clients probablement obsolètes, pour éviter de perturber les utilisateurs, envisagez d'attendre que davantage d'utilisateurs mettent à jour votre application avant d'activer l'application des règles. L'application d'App Check sur une application publiée interrompra les versions antérieures de l'application qui ne sont pas intégrées au SDK App Check.
Si votre application n'a pas encore été lancée, vous devez activer l'application App Check immédiatement, car aucun client obsolète n'est utilisé.
Étapes suivantes
Une fois que vous avez compris l'impact d'App Check sur vos utilisateurs et que vous êtes prêt à continuer, vous pouvez activer l'application d'App Check.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/31 (UTC).
[null,null,["Dernière mise à jour le 2025/08/31 (UTC)."],[[["\u003cp\u003eBefore enforcing App Check, monitor its request metrics to understand its potential impact on existing users, particularly those using older app versions.\u003c/p\u003e\n"],["\u003cp\u003eApp Check metrics categorize requests into verified, outdated client, unknown origin, and invalid, helping you assess the risk of disrupting legitimate users.\u003c/p\u003e\n"],["\u003cp\u003eIf most requests are verified, consider enabling enforcement; if significant outdated client requests exist, wait for more users to update their app first.\u003c/p\u003e\n"],["\u003cp\u003eFor newly launched apps without existing users, enable App Check enforcement immediately to ensure security from the start.\u003c/p\u003e\n"],["\u003cp\u003eUse the Google API Console or Firebase Console to monitor App Check metrics and make informed decisions about enforcement timing.\u003c/p\u003e\n"]]],[],null,["After you add the App Check library to your app, but before you enable\nApp Check enforcement, you should make sure that doing so won't disrupt your\nexisting legitimate users.\n\nAn important tool you can use to make this decision are App Check\nrequest metrics. You can monitor App Check metrics in the\n[Google API Console](#monitor_metrics_in_the_google_cloud_console) or the [Firebase Console](#monitor_metrics_in_the_firebase_console).\n\nMonitor Metrics in the Google API Console\n\nTo view metrics for your iOS OAuth client, navigate to the edit view of the\nclient in the [Credentials page](https://console.cloud.google.com/apis/credentials). There, you will see metrics to the\nright of the page under the **Google Identity for iOS** section. These metrics\nwill show you your App Check request metrics. The metrics include the\nfollowing information:\n\n- **Number of verified requests** - requests that have a valid App Check token. After you enable App Check enforcement, only requests in this category will succeed.\n- **Number of unverified requests: likely outdated client requests** - requests missing an App Check token; these request may be from an older version of your app that doesn't include an App Check implementation.\n- **Number of unverified requests: unknown origin requests** - requests missing an App Check token that don't look like they are coming from your app.\n- **Number of unverified requests: invalid requests** - requests with an invalid App Check token, which may be from an inauthentic client attempting to impersonate your app, or from emulated environments.\n\nMonitor Metrics in the Firebase Console\n\nYou can view metrics for your projects as a whole, or\nfor individual OAuth clients:\n\n- To view the App Check request metrics for your project, open the\n [App Check](https://console.firebase.google.com/project/_/appcheck) section of the Firebase console and expand the\n **Google Identity for iOS** section. For example:\n\n- To view the App Check request metrics for a specific OAuth client, open the\n [OAuth clients](https://console.firebase.google.com/project/_/appcheck/products/oauth) page of the Firebase console and\n expand the section corresponding to the client.\n\nThe request metrics are broken down into four categories:\n\n- **Verified** requests are those that have a valid App Check token. After\n you enable App Check enforcement, only requests in this category will\n succeed.\n\n- **Outdated client** requests are those that are missing an App Check\n token. These requests might be from an older version of the Firebase SDK\n before App Check was included in the app.\n\n- **Unknown origin** requests are those that are missing an App Check token,\n and don't look like they come from the Firebase SDK. These might be from\n requests made with stolen API keys or forged requests made without the\n Firebase SDK.\n\n- **Invalid** requests are those that have an invalid\n App Check token, which might be from an inauthentic client attempting to\n impersonate your app, or from emulated environments.\n\nThe distribution of these categories for your app should inform when you decide\nto enable enforcement. Here are some guidelines:\n\n- If almost all of the recent requests are from verified clients, consider\n enabling enforcement to start protecting your auth endpoints.\n\n- If a significant portion of the recent requests are from likely-outdated\n clients, to avoid disrupting users, consider waiting for more users to update\n your app before enabling enforcement. Enforcing App Check on a released\n app will break prior app versions that are not integrated with the\n App Check SDK.\n\n- If your app hasn't launched yet, you should enable App Check enforcement\n immediately, since there aren't any outdated clients in use.\n\nNext steps\n\nWhen you understand how App Check will affect your users and you're ready to\nproceed, you can [enable App Check enforcement](/identity/sign-in/ios/appcheck/enable-enforcement)."]]
