Importante: a partire dal
1° maggio 2024, Apple
richiede firme e manifest per la privacy per le applicazioni per iOS che usano SDK di uso comune, tra cui GoogleSignIn-iOS. Esegui l'upgrade a GoogleSignIn-iOS v7.1.0+ prima del 1° maggio 2024. Segui la
nostra guida all'upgrade.
Monitora metriche delle richieste di App Check
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Dopo aver aggiunto la libreria App Check alla tua app, ma prima di attivare
l'applicazione di App Check, devi assicurarti che questa operazione non interrompa
l'attività dei tuoi utenti legittimi esistenti.
Uno strumento importante che puoi utilizzare per prendere questa decisione sono le metriche delle richieste di App Check. Puoi monitorare le metriche di App Check in
Google API Console o nella console Firebase.
Monitorare le metriche in Google API Console
Per visualizzare le metriche per il client OAuth iOS, vai alla visualizzazione di modifica del client nella pagina Credenziali. Qui vedrai le metriche
a destra della pagina nella sezione Google Identity per iOS. Queste metriche
mostrano le metriche delle richieste App Check. Le metriche includono le
seguenti informazioni:
-
Numero di richieste verificate: richieste con un token App Check valido. Dopo aver
abilitato l'applicazione di App Check, solo le richieste di questa categoria andranno a buon fine.
-
Numero di richieste non verificate: probabili richieste client obsolete: richieste senza un
token App Check; queste richieste potrebbero provenire da una versione precedente della tua app che non include
un'implementazione di App Check.
-
Numero di richieste non verificate: richieste di origini sconosciute: richieste senza un token App Check
che non sembrano provenire dalla tua app.
-
Numero di richieste non verificate: richieste non valide: richieste con un token App Check non valido, probabilmente provenienti da un client non autentico che cerca di passare per la tua app o da ambienti emulati.
Monitorare le metriche nella console Firebase
Puoi visualizzare le metriche per i tuoi progetti nel loro complesso o
per i singoli client OAuth:
Per visualizzare le metriche delle richieste di App Check per il tuo progetto, apri la sezione
App Check della console Firebase ed espandi la sezione
Google Identity per iOS. Ad esempio:
Per visualizzare le metriche delle richieste App Check per un client OAuth specifico, apri la pagina
Client OAuth della console Firebase ed
espandi la sezione corrispondente al client.
Le metriche delle richieste sono suddivise in quattro categorie:
Le richieste verificate sono quelle che hanno un token App Check valido. Dopo
aver abilitato l'applicazione di App Check, solo le richieste di questa categoria
andranno a buon fine.
Le richieste client obsolete sono quelle a cui manca un token App Check. Queste richieste potrebbero provenire da una versione precedente dell'SDK Firebase
prima che App Check fosse incluso nell'app.
Le richieste di origine sconosciuta sono quelle senza un token App Check
e che non sembrano provenire dall'SDK Firebase. Queste potrebbero provenire da
richieste effettuate con chiavi API rubate o richieste contraffatte effettuate senza l'SDK Firebase.
Le richieste non valide sono quelle che hanno un token App Check non valido, probabilmente provenienti da un client non autentico che cerca di passare per la tua app o da ambienti emulati.
La distribuzione di queste categorie per la tua app deve informarti quando decidi
di attivare l'applicazione. Di seguito sono riportate alcune linee guida:
Se quasi tutte le richieste recenti provengono da client verificati, valuta la possibilità di attivare l'applicazione per iniziare a proteggere gli endpoint di autenticazione.
Se una parte significativa delle richieste recenti proviene da client probabilmente obsoleti, per evitare interruzioni per gli utenti, valuta la possibilità di attendere che un maggior numero di utenti aggiorni
la tua app prima di attivare l'applicazione. L'applicazione di App Check su un'app rilasciata
interromperà le versioni precedenti dell'app che non sono integrate con l'SDK
App Check.
Se la tua app non è ancora stata lanciata, devi attivare l'applicazione di App Check
immediatamente, poiché non sono in uso client obsoleti.
Passaggi successivi
Quando avrai compreso l'impatto di App Check sui tuoi utenti e sarai pronto per procedere, potrai attivare l'applicazione di App Check.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-08-31 UTC.
[null,null,["Ultimo aggiornamento 2025-08-31 UTC."],[[["\u003cp\u003eBefore enforcing App Check, monitor its request metrics to understand its potential impact on existing users, particularly those using older app versions.\u003c/p\u003e\n"],["\u003cp\u003eApp Check metrics categorize requests into verified, outdated client, unknown origin, and invalid, helping you assess the risk of disrupting legitimate users.\u003c/p\u003e\n"],["\u003cp\u003eIf most requests are verified, consider enabling enforcement; if significant outdated client requests exist, wait for more users to update their app first.\u003c/p\u003e\n"],["\u003cp\u003eFor newly launched apps without existing users, enable App Check enforcement immediately to ensure security from the start.\u003c/p\u003e\n"],["\u003cp\u003eUse the Google API Console or Firebase Console to monitor App Check metrics and make informed decisions about enforcement timing.\u003c/p\u003e\n"]]],[],null,["After you add the App Check library to your app, but before you enable\nApp Check enforcement, you should make sure that doing so won't disrupt your\nexisting legitimate users.\n\nAn important tool you can use to make this decision are App Check\nrequest metrics. You can monitor App Check metrics in the\n[Google API Console](#monitor_metrics_in_the_google_cloud_console) or the [Firebase Console](#monitor_metrics_in_the_firebase_console).\n\nMonitor Metrics in the Google API Console\n\nTo view metrics for your iOS OAuth client, navigate to the edit view of the\nclient in the [Credentials page](https://console.cloud.google.com/apis/credentials). There, you will see metrics to the\nright of the page under the **Google Identity for iOS** section. These metrics\nwill show you your App Check request metrics. The metrics include the\nfollowing information:\n\n- **Number of verified requests** - requests that have a valid App Check token. After you enable App Check enforcement, only requests in this category will succeed.\n- **Number of unverified requests: likely outdated client requests** - requests missing an App Check token; these request may be from an older version of your app that doesn't include an App Check implementation.\n- **Number of unverified requests: unknown origin requests** - requests missing an App Check token that don't look like they are coming from your app.\n- **Number of unverified requests: invalid requests** - requests with an invalid App Check token, which may be from an inauthentic client attempting to impersonate your app, or from emulated environments.\n\nMonitor Metrics in the Firebase Console\n\nYou can view metrics for your projects as a whole, or\nfor individual OAuth clients:\n\n- To view the App Check request metrics for your project, open the\n [App Check](https://console.firebase.google.com/project/_/appcheck) section of the Firebase console and expand the\n **Google Identity for iOS** section. For example:\n\n- To view the App Check request metrics for a specific OAuth client, open the\n [OAuth clients](https://console.firebase.google.com/project/_/appcheck/products/oauth) page of the Firebase console and\n expand the section corresponding to the client.\n\nThe request metrics are broken down into four categories:\n\n- **Verified** requests are those that have a valid App Check token. After\n you enable App Check enforcement, only requests in this category will\n succeed.\n\n- **Outdated client** requests are those that are missing an App Check\n token. These requests might be from an older version of the Firebase SDK\n before App Check was included in the app.\n\n- **Unknown origin** requests are those that are missing an App Check token,\n and don't look like they come from the Firebase SDK. These might be from\n requests made with stolen API keys or forged requests made without the\n Firebase SDK.\n\n- **Invalid** requests are those that have an invalid\n App Check token, which might be from an inauthentic client attempting to\n impersonate your app, or from emulated environments.\n\nThe distribution of these categories for your app should inform when you decide\nto enable enforcement. Here are some guidelines:\n\n- If almost all of the recent requests are from verified clients, consider\n enabling enforcement to start protecting your auth endpoints.\n\n- If a significant portion of the recent requests are from likely-outdated\n clients, to avoid disrupting users, consider waiting for more users to update\n your app before enabling enforcement. Enforcing App Check on a released\n app will break prior app versions that are not integrated with the\n App Check SDK.\n\n- If your app hasn't launched yet, you should enable App Check enforcement\n immediately, since there aren't any outdated clients in use.\n\nNext steps\n\nWhen you understand how App Check will affect your users and you're ready to\nproceed, you can [enable App Check enforcement](/identity/sign-in/ios/appcheck/enable-enforcement)."]]
