Wichtig: Ab dem
1. Mai 2024 benötigt Apple Privacy Manifeste und Signaturen für iOS-Apps, die gängige SDKs verwenden, einschließlich GoogleSignIn-iOS. Führe vor dem 1. Mai 2024 ein Upgrade auf GoogleSignIn-iOS 7.1.0 oder höher durch. Folgen Sie
unserem Upgrade-Leitfaden.
Messwerte für App Check-Anfragen überwachen
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Nachdem Sie die App Check-Bibliothek zu Ihrer App hinzugefügt haben, aber bevor Sie die App Check-Durchsetzung aktivieren, sollten Sie dafür sorgen, dass dadurch keine bestehenden legitimen Nutzer beeinträchtigt werden.
Ein wichtiges Tool, das Sie für diese Entscheidung nutzen können, sind die Messwerte für App Check-Anfragen. Sie können App Check-Messwerte in der Google API Console oder der Firebase Console überwachen.
Messwerte in der Google API Consoleüberwachen
Wenn Sie Messwerte für Ihren iOS-OAuth-Client aufrufen möchten, rufen Sie die Bearbeitungsansicht des Clients auf der Seite „Anmeldedaten“ auf. Dort sehen Sie rechts auf der Seite im Bereich Google Identity for iOS die entsprechenden Messwerte. In diesen Messwerten sehen Sie die Messwerte Ihrer App Check-Anfragen. Die Messwerte enthalten die folgenden Informationen:
-
Anzahl der bestätigten Anfragen: Anfragen mit einem gültigen App Check-Token. Nachdem Sie die Erzwingung von App Check aktiviert haben, sind nur Anfragen in dieser Kategorie erfolgreich.
-
Anzahl der nicht bestätigten Anfragen: möglicherweise veraltete Clientanfragen – Anfragen ohne App Check-Token. Diese Anfragen stammen möglicherweise von einer älteren Version Ihrer App, die keine App Check-Implementierung enthält.
-
Anzahl der nicht bestätigten Anfragen: Anfragen unbekannten Ursprungs: Anfragen ohne App Check-Token, die nicht von Ihrer App zu stammen scheinen.
-
Anzahl nicht bestätigter Anfragen: ungültige Anfragen: Anfragen mit einem ungültigen App Check-Token, was auf emulierte Umgebungen oder einen nicht authentischen Client zurückzuführen sein kann, der versucht, sich als Ihre App auszugeben.
Messwerte in der Firebase Console überwachen
Sie können Messwerte für Ihre Projekte als Ganzes oder für einzelne OAuth-Clients aufrufen:
Wenn Sie die Messwerte für App Check-Anfragen für Ihr Projekt aufrufen möchten, öffnen Sie in der Firebase Console den Bereich App Check und maximieren Sie den Bereich Google Identity für iOS. Beispiel:
Wenn Sie die App Check-Anfragemesswerte für einen bestimmten OAuth-Client aufrufen möchten, öffnen Sie in der Firebase Console die Seite OAuth-Clients und maximieren Sie den Abschnitt, der dem Client entspricht.
Die Messwerte für Anfragen sind in vier Kategorien unterteilt:
Bestätigte Anfragen sind Anfragen mit einem gültigen App Check-Token. Nachdem Sie die Erzwingung von App Check aktiviert haben, sind nur Anfragen in dieser Kategorie erfolgreich.
Anfragen von veralteten Clients sind Anfragen, bei denen ein App Check-Token fehlt. Diese Anfragen stammen möglicherweise von einer älteren Version des Firebase SDK, bevor App Check in die App aufgenommen wurde.
Anfragen unbekannten Ursprungs sind Anfragen ohne App Check-Token, die nicht vom Firebase SDK zu stammen scheinen. Diese können von Anfragen mit gestohlenen API-Schlüsseln oder von gefälschten Anfragen ohne das Firebase SDK stammen.
Ungültige Anfragen sind solche mit einem ungültigen App Check-Token, was auf emulierte Umgebungen oder einen nicht authentischen Client zurückzuführen sein kann, der versucht, sich als Ihre App auszugeben.
Die Verteilung dieser Kategorien für Ihre App sollte Ihnen bei der Entscheidung helfen, wann Sie die Erzwingung aktivieren. Hier sind einige Richtlinien dafür:
Wenn fast alle aktuellen Anfragen von bestätigten Clients stammen, sollten Sie die Erzwingung aktivieren, um Ihre Autorisierungsendpunkte zu schützen.
Wenn ein erheblicher Teil der letzten Anfragen von wahrscheinlich veralteten Clients stammt, sollten Sie mit der Erzwingung warten, bis mehr Nutzer Ihre App aktualisiert haben, um Störungen zu vermeiden. Wenn Sie App Check für eine veröffentlichte App erzwingen, werden frühere App-Versionen, in die das App Check SDK nicht integriert ist, nicht mehr funktionieren.
Wenn Ihre App noch nicht veröffentlicht wurde, sollten Sie die App Check-Durchsetzung sofort aktivieren, da keine veralteten Clients verwendet werden.
Nächste Schritte
Wenn Sie wissen, wie sich App Check auf Ihre Nutzer auswirkt, und Sie bereit sind, fortzufahren, können Sie die App Check-Durchsetzung aktivieren.
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2025-08-31 (UTC).
[null,null,["Zuletzt aktualisiert: 2025-08-31 (UTC)."],[[["\u003cp\u003eBefore enforcing App Check, monitor its request metrics to understand its potential impact on existing users, particularly those using older app versions.\u003c/p\u003e\n"],["\u003cp\u003eApp Check metrics categorize requests into verified, outdated client, unknown origin, and invalid, helping you assess the risk of disrupting legitimate users.\u003c/p\u003e\n"],["\u003cp\u003eIf most requests are verified, consider enabling enforcement; if significant outdated client requests exist, wait for more users to update their app first.\u003c/p\u003e\n"],["\u003cp\u003eFor newly launched apps without existing users, enable App Check enforcement immediately to ensure security from the start.\u003c/p\u003e\n"],["\u003cp\u003eUse the Google API Console or Firebase Console to monitor App Check metrics and make informed decisions about enforcement timing.\u003c/p\u003e\n"]]],[],null,["After you add the App Check library to your app, but before you enable\nApp Check enforcement, you should make sure that doing so won't disrupt your\nexisting legitimate users.\n\nAn important tool you can use to make this decision are App Check\nrequest metrics. You can monitor App Check metrics in the\n[Google API Console](#monitor_metrics_in_the_google_cloud_console) or the [Firebase Console](#monitor_metrics_in_the_firebase_console).\n\nMonitor Metrics in the Google API Console\n\nTo view metrics for your iOS OAuth client, navigate to the edit view of the\nclient in the [Credentials page](https://console.cloud.google.com/apis/credentials). There, you will see metrics to the\nright of the page under the **Google Identity for iOS** section. These metrics\nwill show you your App Check request metrics. The metrics include the\nfollowing information:\n\n- **Number of verified requests** - requests that have a valid App Check token. After you enable App Check enforcement, only requests in this category will succeed.\n- **Number of unverified requests: likely outdated client requests** - requests missing an App Check token; these request may be from an older version of your app that doesn't include an App Check implementation.\n- **Number of unverified requests: unknown origin requests** - requests missing an App Check token that don't look like they are coming from your app.\n- **Number of unverified requests: invalid requests** - requests with an invalid App Check token, which may be from an inauthentic client attempting to impersonate your app, or from emulated environments.\n\nMonitor Metrics in the Firebase Console\n\nYou can view metrics for your projects as a whole, or\nfor individual OAuth clients:\n\n- To view the App Check request metrics for your project, open the\n [App Check](https://console.firebase.google.com/project/_/appcheck) section of the Firebase console and expand the\n **Google Identity for iOS** section. For example:\n\n- To view the App Check request metrics for a specific OAuth client, open the\n [OAuth clients](https://console.firebase.google.com/project/_/appcheck/products/oauth) page of the Firebase console and\n expand the section corresponding to the client.\n\nThe request metrics are broken down into four categories:\n\n- **Verified** requests are those that have a valid App Check token. After\n you enable App Check enforcement, only requests in this category will\n succeed.\n\n- **Outdated client** requests are those that are missing an App Check\n token. These requests might be from an older version of the Firebase SDK\n before App Check was included in the app.\n\n- **Unknown origin** requests are those that are missing an App Check token,\n and don't look like they come from the Firebase SDK. These might be from\n requests made with stolen API keys or forged requests made without the\n Firebase SDK.\n\n- **Invalid** requests are those that have an invalid\n App Check token, which might be from an inauthentic client attempting to\n impersonate your app, or from emulated environments.\n\nThe distribution of these categories for your app should inform when you decide\nto enable enforcement. Here are some guidelines:\n\n- If almost all of the recent requests are from verified clients, consider\n enabling enforcement to start protecting your auth endpoints.\n\n- If a significant portion of the recent requests are from likely-outdated\n clients, to avoid disrupting users, consider waiting for more users to update\n your app before enabling enforcement. Enforcing App Check on a released\n app will break prior app versions that are not integrated with the\n App Check SDK.\n\n- If your app hasn't launched yet, you should enable App Check enforcement\n immediately, since there aren't any outdated clients in use.\n\nNext steps\n\nWhen you understand how App Check will affect your users and you're ready to\nproceed, you can [enable App Check enforcement](/identity/sign-in/ios/appcheck/enable-enforcement)."]]
