ใช้ App Check เพื่อรักษาคีย์ API ให้ปลอดภัย

Firebase App Check ให้การปกป้องการเรียกใช้จากแอปของคุณไปยัง Google Maps Platform โดยการบล็อกการเข้าชมที่มาจากแหล่งที่มาที่ไม่ใช่แอปที่ถูกต้อง โดยการตรวจสอบโทเค็นจากผู้ให้บริการยืนยัน เช่น reCAPTCHA Enterprise การผสานรวมแอปกับ App Check จะช่วยป้องกันคำขอที่เป็นอันตราย เพื่อไม่ให้ระบบเรียกเก็บเงินสำหรับการเรียก API โดยไม่ได้รับอนุญาต

App Check เหมาะกับฉันไหม

เราขอแนะนำให้ใช้ App Check ในกรณีส่วนใหญ่ แต่ไม่จำเป็นต้องใช้ App Check หรือระบบไม่รองรับในกรณีต่อไปนี้

  • แอปส่วนตัวหรือแอปทดลอง หากแอปของคุณเข้าถึงไม่ได้แบบสาธารณะ ก็ไม่จำเป็นต้องใช้ App Check
  • หากแอปของคุณใช้เฉพาะแบบเซิร์ฟเวอร์ต่อเซิร์ฟเวอร์ ก็ไม่จำเป็นต้องใช้ App Check อย่างไรก็ตาม หากไคลเอ็นต์สาธารณะ (เช่น แอปบนอุปกรณ์เคลื่อนที่) ใช้เซิร์ฟเวอร์ที่สื่อสารกับ GMP ให้พิจารณาใช้ App Check เพื่อปกป้องเซิร์ฟเวอร์นั้นแทน GMP

ภาพรวมของขั้นตอนการติดตั้งใช้งาน

ขั้นตอนโดยสังเขปในการผสานรวมแอปกับ App Check มีดังนี้

  1. เพิ่ม Firebase ไปยังแอป
  2. เพิ่มและเริ่มต้นใช้งานไลบรารี App Check
  3. เพิ่มผู้ให้บริการโทเค็นลงในแอป
  4. เริ่มต้น Maps JS และ App Check API
  5. เปิดใช้การแก้ไขข้อบกพร่อง
  6. ตรวจสอบคำขอแอปและตัดสินใจเกี่ยวกับการบังคับใช้

เมื่อผสานรวมกับ App Check แล้ว คุณจะเห็นเมตริกการเข้าชมแบ็กเอนด์ในคอนโซล Firebase เมตริกเหล่านี้แสดงรายละเอียดของคำขอตามที่มีโทเค็น App Check ที่ถูกต้องหรือไม่ ดูข้อมูลเพิ่มเติมได้ที่เอกสารประกอบของ Firebase App Check

เมื่อแน่ใจว่าคำขอส่วนใหญ่มาจากแหล่งที่มาที่ถูกต้องและผู้ใช้ได้อัปเดตแอปเป็นเวอร์ชันล่าสุดที่มีการติดตั้งใช้งาน App Check แล้ว คุณสามารถเปิดใช้การบังคับใช้ได้ เมื่อเปิดการบังคับใช้แล้ว App Check จะปฏิเสธการเข้าชมทั้งหมดที่ไม่มีโทเค็น App Check ที่ถูกต้อง

ข้อควรพิจารณาเมื่อวางแผนการผสานรวม App Check

ต่อไปนี้คือสิ่งที่ควรพิจารณาเมื่อวางแผนการผสานรวม

  • reCAPTCHA Enterprise ซึ่งเป็นผู้ให้บริการการรับรองที่เราแนะนำรายหนึ่งจะเรียกเก็บเงินสำหรับการประเมินมากกว่า 10,000 ครั้งต่อเดือน

    ผู้ให้บริการการรับรองรายอื่นที่เราแนะนำคือ reCAPTCHA v3 มีโควต้า ซึ่งหลังจากนั้นระบบจะไม่ประเมินการเข้าชม

    คุณสามารถเลือกใช้บริการผู้ให้บริการการรับรองที่กําหนดเองได้ แต่นี่เป็นกรณีการใช้งานขั้นสูง ดูข้อมูลเพิ่มเติมได้ที่เอกสารประกอบเกี่ยวกับ App Check

  • ผู้ใช้แอปจะพบความล่าช้าเล็กน้อยเมื่อเริ่มต้น อย่างไรก็ตาม หลังจากนั้น การรับรองอีกครั้งจะเกิดขึ้นเป็นระยะๆ ในเบื้องหลัง และผู้ใช้ไม่ควรพบปัญหาเวลาในการตอบสนองอีก เวลาในการตอบสนองที่แน่นอนเมื่อเริ่มต้นจะขึ้นอยู่กับผู้ให้บริการการรับรองที่คุณเลือก

    ระยะเวลาที่โทเค็น App Check ใช้งานได้ (Time to Live หรือ TTL) จะกำหนดความถี่ของการรับรองอีกครั้ง คุณกำหนดค่าระยะเวลานี้ได้ในคอนโซล Firebase การรับรองอีกครั้งจะเกิดขึ้นเมื่อ TTL ผ่านไปครึ่งหนึ่ง ดูข้อมูลเพิ่มเติมได้ที่เอกสาร Firebase ของผู้ให้บริการการรับรอง

ผสานรวมแอปกับ App Check

เกณฑ์เบื้องต้นและข้อกำหนด

ขั้นตอนที่ 1: เพิ่ม Firebase ไปยังแอป

ทําตามวิธีการในเอกสารประกอบสําหรับนักพัฒนาแอป Firebase เพื่อเพิ่ม Firebase ลงในแอป

ขั้นตอนที่ 2: เพิ่มคลัง App Check และเริ่มต้น App Check

Firebase มีวิธีการสำหรับผู้ให้บริการการรับรองเริ่มต้นแต่ละราย วิธีการเหล่านี้จะแสดงวิธีตั้งค่าโปรเจ็กต์ Firebase และเพิ่มคลัง App Check ลงในแอปของคุณ ทำตามตัวอย่างโค้ดที่ให้ไว้เพื่อเริ่มต้น App Check

ขั้นตอนที่ 3: โหลดไลบรารี Maps JS API

  1. โหลดไลบรารีหลักและ Maps ตามที่แสดงในข้อมูลโค้ดต่อไปนี้ ดูข้อมูลเพิ่มเติมและวิธีการได้ที่เอกสารประกอบ Maps JavaScript API

    async function init() {
      const {Settings} = await google.maps.importLibrary('core');
      const {Map} = await google.maps.importLibrary('maps');
    }  

ขั้นตอนที่ 4: เริ่มต้น Maps และ App Check API

  1. เริ่มต้น App Check โดยใช้การกําหนดค่าที่คอนโซล Firebase มีให้
  2. ตรวจสอบว่าคำขอ Maps JS API มาพร้อมกับโทเค็น App Check
      import {initializeApp} from 'firebase/app';
      import {
        getToken,
        initializeAppCheck,
        ReCaptchaEnterpriseProvider,
      } from 'firebase/app-check';
        
      async function init() {
        const {Settings} = await google.maps.importLibrary('core');
        const {Map} = await google.maps.importLibrary('maps');
      
        const app = initializeApp({
          // Your firebase configuration object
        });
      
        // Pass your reCAPTCHA Enterprise site key to initializeAppCheck().
        const appCheck = initializeAppCheck(app, {
          provider: new ReCaptchaEnterpriseProvider(
            'abcdefghijklmnopqrstuvwxy-1234567890abcd',
          ),
      
          // Optional argument. If true, the SDK automatically refreshes App Check
          // tokens as needed.
          isTokenAutoRefreshEnabled: true,
        });
      
        Settings.getInstance().fetchAppCheckToken = () =>
            getToken(appCheck, /* forceRefresh = */ false);
      
        // Load a map
        map = new Map(document.getElementById("map"), {
          center: { lat: 37.4161493, lng: -122.0812166 },
          zoom: 8,
        });
      }  
      

ขั้นตอนที่ 5: เปิดใช้การแก้ไขข้อบกพร่อง (ไม่บังคับ)

หากต้องการพัฒนาและทดสอบแอปในเครื่อง หรือเรียกใช้แอปในสภาพแวดล้อมการผสานรวมอย่างต่อเนื่อง (CI) คุณสามารถสร้างบิลด์แก้ไขข้อบกพร่องของแอปที่ใช้ข้อมูลลับสำหรับการแก้ไขข้อบกพร่องเพื่อรับโทเค็น App Check ที่ถูกต้อง วิธีนี้ช่วยให้คุณหลีกเลี่ยงการใช้ผู้ให้บริการการรับรองที่แท้จริงในบิลด์แก้ไขข้อบกพร่องได้

วิธีทดสอบแอปในเครื่อง

  • เปิดใช้งานผู้ให้บริการแก้ไขข้อบกพร่องเพื่อวัตถุประสงค์ในการพัฒนา
  • คุณจะได้รับ UUID4 แบบสุ่มที่สร้างขึ้นโดยอัตโนมัติ (เรียกว่า _debug token_ ในเอกสารประกอบของ App Check) จากบันทึกการแก้ไขข้อบกพร่องของ SDK เพิ่มโทเค็นนี้ลงในคอนโซล Firebase
  • ดูข้อมูลและวิธีการเพิ่มเติมได้ที่เอกสารประกอบเกี่ยวกับ App Check

วิธีเรียกใช้แอปในสภาพแวดล้อม CI

  • สร้าง UUID4 แบบสุ่มจากคอนโซล Firebase
  • เพิ่ม UUID4 เป็นโทเค็นแก้ไขข้อบกพร่อง แล้วคัดลอกลงในที่เก็บข้อมูลลับที่การทดสอบ CI จะเข้าถึงต่อการเรียกใช้การทดสอบแต่ละครั้ง
  • ดูข้อมูลและวิธีการเพิ่มเติมได้ที่เอกสารประกอบเกี่ยวกับ App Check

ขั้นตอนที่ 6: ตรวจสอบคําขอแอปและตัดสินใจเกี่ยวกับการบังคับใช้

ก่อนเริ่มการบังคับใช้ คุณต้องตรวจสอบว่าจะไม่รบกวนผู้ใช้ที่ถูกต้องของแอป โดยไปที่หน้าจอเมตริก App Check เพื่อดูเปอร์เซ็นต์ของการเข้าชมแอปที่ได้รับการยืนยัน ล้าสมัย หรือไม่ถูกต้อง เมื่อเห็นว่าการเข้าชมส่วนใหญ่ได้รับการยืนยันแล้ว คุณจะเปิดใช้การบังคับใช้ได้

ดูข้อมูลเพิ่มเติมและวิธีการได้ในเอกสารประกอบของ Firebase App Check