Importante: a partir de
1o de maio de 2024, a Apple
vai exigir Manifestos de privacidade e assinaturas para apps iOS que usam os SDKs mais usados, incluindo o GoogleSignIn-iOS. Faça upgrade para o GoogleSignIn-iOS v7.1.0 ou mais recente antes de 1o de maio de 2024. Siga
nosso guia de upgrade.
Monitorar métricas de solicitação do App Check
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Depois de adicionar a biblioteca do App Check ao seu app, mas antes de ativar
a aplicação do App Check, verifique se isso não vai interromper seus
usuários legítimos atuais.
Uma ferramenta importante que pode ser usada para tomar essa decisão são as métricas de solicitação do App Check. É possível monitorar as métricas do App Check no
Google API Console ou no Console do Firebase.
Monitorar métricas no Google API Console
Para conferir as métricas do seu cliente OAuth do iOS, acesse a visualização de edição do
cliente na página "Credenciais". Lá, você vai encontrar métricas à direita da página, na seção Google Identity para iOS. Essas métricas
mostram as métricas de solicitação do App Check. As métricas incluem as seguintes informações:
-
Número de solicitações verificadas: solicitações com um token válido do App Check. Depois de
ativar a aplicação do App Check, apenas as solicitações nessa categoria serão bem-sucedidas.
-
Número de solicitações não verificadas: solicitações de cliente possivelmente desatualizadas: solicitações sem um token do App Check. Elas podem ser de uma versão mais antiga do app que não inclui uma implementação do App Check.
-
Número de solicitações não verificadas: solicitações de origem desconhecida: solicitações sem um token do App Check
que não parecem ser do seu app.
-
Número de solicitações não verificadas: solicitações inválidas: solicitações com um token inválido do App Check, que podem ser de um cliente fraudulento tentando se passar pelo seu app ou de ambientes emulados.
Monitorar métricas no console do Firebase
É possível conferir métricas dos projetos como um todo ou de clientes OAuth individuais:
Para conferir as métricas de solicitação do App Check no seu projeto, abra a seção
App Check no Console do Firebase e expanda a seção
Google Identity para iOS. Exemplo:
Para conferir as métricas de solicitação do App Check de um cliente OAuth específico, abra a página
Clientes OAuth no Console do Firebase e
expanda a seção correspondente ao cliente.
As métricas de solicitação são divididas em quatro categorias:
As solicitações Verificadas são aquelas que têm um token válido do App Check. Depois
de ativar a aplicação do App Check, apenas as solicitações nessa categoria
serão bem-sucedidas.
As solicitações de cliente desatualizado são aquelas que não têm um token do
App Check. Essas solicitações podem ser de uma versão mais antiga do SDK do Firebase antes da inclusão do App Check no app.
As solicitações de origem desconhecida são aquelas que não têm um token do App Check
e que não parecem ser do SDK do Firebase. Isso pode ocorrer por
solicitações feitas com chaves de API roubadas ou solicitações forjadas que não têm o
SDK do Firebase.
Solicitações inválidas são aquelas que têm um token
inválido do App Check, que pode ser de um cliente não autêntico que tenta
se passar pelo seu app ou de ambientes emulados.
A distribuição dessas categorias para seu app precisará ser informada quando você decidir
ativar a aplicação. Veja algumas recomendações:
Se quase todas as solicitações recentes forem de clientes verificados, ative
a aplicação para começar a proteger seus endpoints de autenticação.
Se uma parte significativa das solicitações recentes for de clientes provavelmente
desatualizados, para evitar possíveis interrupções, considere esperar que mais usuários atualizem
seu app antes de ativar a aplicação. A aplicação do App Check em um app
lançado quebrará as versões anteriores que não estiverem integradas ao
SDK do App Check.
Caso o app ainda não tenha sido lançado, ative a aplicação do App Check
imediatamente, porque não há clientes desatualizados em uso.
Próximas etapas
Assim que você entender como o App Check vai afetar seus usuários e estiver tudo pronto para
seguir o processo, ative a aplicação do App Check.
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-08-31 UTC.
[null,null,["Última atualização 2025-08-31 UTC."],[[["\u003cp\u003eBefore enforcing App Check, monitor its request metrics to understand its potential impact on existing users, particularly those using older app versions.\u003c/p\u003e\n"],["\u003cp\u003eApp Check metrics categorize requests into verified, outdated client, unknown origin, and invalid, helping you assess the risk of disrupting legitimate users.\u003c/p\u003e\n"],["\u003cp\u003eIf most requests are verified, consider enabling enforcement; if significant outdated client requests exist, wait for more users to update their app first.\u003c/p\u003e\n"],["\u003cp\u003eFor newly launched apps without existing users, enable App Check enforcement immediately to ensure security from the start.\u003c/p\u003e\n"],["\u003cp\u003eUse the Google API Console or Firebase Console to monitor App Check metrics and make informed decisions about enforcement timing.\u003c/p\u003e\n"]]],[],null,["After you add the App Check library to your app, but before you enable\nApp Check enforcement, you should make sure that doing so won't disrupt your\nexisting legitimate users.\n\nAn important tool you can use to make this decision are App Check\nrequest metrics. You can monitor App Check metrics in the\n[Google API Console](#monitor_metrics_in_the_google_cloud_console) or the [Firebase Console](#monitor_metrics_in_the_firebase_console).\n\nMonitor Metrics in the Google API Console\n\nTo view metrics for your iOS OAuth client, navigate to the edit view of the\nclient in the [Credentials page](https://console.cloud.google.com/apis/credentials). There, you will see metrics to the\nright of the page under the **Google Identity for iOS** section. These metrics\nwill show you your App Check request metrics. The metrics include the\nfollowing information:\n\n- **Number of verified requests** - requests that have a valid App Check token. After you enable App Check enforcement, only requests in this category will succeed.\n- **Number of unverified requests: likely outdated client requests** - requests missing an App Check token; these request may be from an older version of your app that doesn't include an App Check implementation.\n- **Number of unverified requests: unknown origin requests** - requests missing an App Check token that don't look like they are coming from your app.\n- **Number of unverified requests: invalid requests** - requests with an invalid App Check token, which may be from an inauthentic client attempting to impersonate your app, or from emulated environments.\n\nMonitor Metrics in the Firebase Console\n\nYou can view metrics for your projects as a whole, or\nfor individual OAuth clients:\n\n- To view the App Check request metrics for your project, open the\n [App Check](https://console.firebase.google.com/project/_/appcheck) section of the Firebase console and expand the\n **Google Identity for iOS** section. For example:\n\n- To view the App Check request metrics for a specific OAuth client, open the\n [OAuth clients](https://console.firebase.google.com/project/_/appcheck/products/oauth) page of the Firebase console and\n expand the section corresponding to the client.\n\nThe request metrics are broken down into four categories:\n\n- **Verified** requests are those that have a valid App Check token. After\n you enable App Check enforcement, only requests in this category will\n succeed.\n\n- **Outdated client** requests are those that are missing an App Check\n token. These requests might be from an older version of the Firebase SDK\n before App Check was included in the app.\n\n- **Unknown origin** requests are those that are missing an App Check token,\n and don't look like they come from the Firebase SDK. These might be from\n requests made with stolen API keys or forged requests made without the\n Firebase SDK.\n\n- **Invalid** requests are those that have an invalid\n App Check token, which might be from an inauthentic client attempting to\n impersonate your app, or from emulated environments.\n\nThe distribution of these categories for your app should inform when you decide\nto enable enforcement. Here are some guidelines:\n\n- If almost all of the recent requests are from verified clients, consider\n enabling enforcement to start protecting your auth endpoints.\n\n- If a significant portion of the recent requests are from likely-outdated\n clients, to avoid disrupting users, consider waiting for more users to update\n your app before enabling enforcement. Enforcing App Check on a released\n app will break prior app versions that are not integrated with the\n App Check SDK.\n\n- If your app hasn't launched yet, you should enable App Check enforcement\n immediately, since there aren't any outdated clients in use.\n\nNext steps\n\nWhen you understand how App Check will affect your users and you're ready to\nproceed, you can [enable App Check enforcement](/identity/sign-in/ios/appcheck/enable-enforcement)."]]
