השקת Places UI Kit: ספריית רכיבים מוכנה לשימוש בעלות נמוכה, שמאפשרת לכם להוסיף לכל מפה שתבחרו את ממשק המשתמש המוכר של 'מקומות' במפות Google. כדאי לנסות אותו ולשלוח לנו משוב כדי לעזור לנו לעצב את העתיד של GMP.

דף זה תורגם על ידי Cloud Translation API.

שימוש ב-App Check כדי לאבטח את מפתח ה-API

Firebase App Check מספק הגנה לשיחות מהאפליקציה שלכם אל הפלטפורמה של מפות Google על ידי חסימת תנועה שמגיעה ממקורות אחרים מלבד אפליקציות לגיטימיות. הוא עושה זאת על ידי בדיקה של טוקן מספק אימות כמו reCAPTCHA Enterprise. שילוב של האפליקציות עם App Check עוזר להגן מפני בקשות זדוניות, כך שלא תחויבו על קריאות לא מורשות ל-API.

האם App Check מתאים לי?

ברוב המקרים מומלץ להשתמש ב-App Check, אבל אין צורך להשתמש בו או שהוא לא נתמך במקרים הבאים:

אתם משתמשים בגרסה המקורית של Places SDK. יש תמיכה ב-App Check רק ב-Places SDK (חדש).
אפליקציות פרטיות או ניסיוניות. אם האפליקציה שלכם לא נגישה לציבור, אין צורך ב-App Check.
אם האפליקציה שלכם משמשת רק לתקשורת שרת-לשרת, אין צורך ב-App Check. עם זאת, אם השרת שמתקשר עם GMP משמש לקוחות ציבוריים (כמו אפליקציות לנייד), מומלץ להשתמש ב-App Check כדי להגן על השרת הזה במקום ב-GMP.

סקירה כללית של שלבי ההטמעה

באופן כללי, אלה השלבים שצריך לבצע כדי לשלב את האפליקציה עם App Check:

מוסיפים את Firebase לאפליקציה.
מוסיפים את ספריית App Check ומפעילים אותה.
מוסיפים את ספק הטוקנים לאפליקציה.
מפעילים את ממשקי ה-API של Places ו-App Check.
מפעילים את ניפוי הבאגים.
מעקב אחרי בקשות האפליקציה והחלטה לגבי אכיפה.

אחרי שתבצעו שילוב עם App Check, תוכלו לראות את מדדי התנועה של ה-Backend במסוף Firebase. המדדים האלה מספקים פירוט של הבקשות לפי השאלה אם הן מלוות בטוקן App Check תקין. מידע נוסף זמין במסמכי התיעוד של Firebase App Check.

אחרי שמוודאים שרוב הבקשות מגיעות ממקורות לגיטימיים ושהמשתמשים עדכנו לגרסה האחרונה של האפליקציה שכוללת את ההטמעה של App Check, אפשר להפעיל את האכיפה. אחרי שמפעילים את האכיפה, App Check דוחה את כל התנועה ללא טוקן App Check תקין.

שיקולים בתכנון שילוב של בדיקת אפליקציות

כמה דברים שכדאי לקחת בחשבון כשמתכננים את השילוב:

אחד מספקי האימות שאנחנו ממליצים עליהם, reCAPTCHA Enterprise, גובה תשלום על יותר מ-10,000 הערכות בחודש.
לספק האישורים השני שאנחנו ממליצים עליו, reCAPTCHA בגרסה 3, יש מכסת שימוש. אחרי שמגיעים למכסה, התנועה לא נבדקת.

אתם יכולים לבחור להשתמש בספק אימות מותאם אישית, אבל זהו תרחיש שימוש מתקדם. מידע נוסף מופיע במאמרי העזרה בנושא App Check.
משתמשים באפליקציה יחוו השהיה מסוימת בהפעלה. אבל אחרי כן, כל אימות חוזר תקופתי יתרחש ברקע, והמשתמשים לא יחוו יותר השהיה. הכמות המדויקת של זמן האחזור בהפעלה תלויה בספק האימות שתבחרו.

משך הזמן שבו הטוקן של App Check תקף (אורך החיים, או TTL) קובע את תדירות האימותים מחדש. אפשר להגדיר את משך הזמן הזה במסוף Firebase. האימות מחדש מתבצע אחרי שעובר בערך חצי מהזמן שמוגדר ל-TTL. למידע נוסף, אפשר לעיין במסמכי Firebase של ספק האימות שלכם.

שילוב האפליקציה עם App Check

דרישות מוקדמות

אפליקציה עם הגרסה השבועית או הרבעונית האחרונה של Maps JavaScript API, ספריית הליבה וספריית המקומות טעונות.
פרויקט ב-Cloud שמופעלים בו ממשקי Maps JavaScript API ו-Places API (חדש).
אתם צריכים להיות הבעלים של האפליקציה ב-Cloud Console.
תצטרכו את מזהה הפרויקט של האפליקציה מ-Cloud Console.

שלב 1: מוסיפים את Firebase לאפליקציה

פועלים לפי ההוראות במסמכי התיעוד למפתחים של Firebase כדי להוסיף את Firebase לאפליקציה.

שלב 2: מוסיפים את ספריית App Check ומפעילים את App Check

ב-Firebase יש הוראות לכל ספק אימות ברירת מחדל. במאמר הזה מוסבר איך להגדיר פרויקט Firebase ולהוסיף את ספריית App Check לאפליקציה. כדי לאתחל את App Check, צריך לפעול לפי דוגמאות הקוד שמופיעות כאן.

הוראות ל-reCAPTCHA Enterprise
הוראות לשימוש ב-reCAPTCHA גרסה 3

לפני שמפעילים את ה-API במסוף Cloud, צריך לרשום את האתר ל-reCAPTCHA v3 ולקבל את מפתח האתר ואת המפתח הסודי של reCAPTCHA v3 באמצעות כלי הרישום של האתר ב-reCAPTCHA. מידע נוסף והוראות זמינים במאמרי העזרה בנושא reCAPTCHA בגרסה 3.

שלב 3: טעינת ספריות Maps JavaScript API

טוענים את ספריות הליבה, המפות והמקומות כמו שמוצג בקטע הקוד הבא. מידע נוסף והוראות מופיעים במאמרי העזרה בנושא מחלקת המקומות ב-Maps JavaScript API.
```
async function init() {
  const {Settings} = await google.maps.importLibrary('core');
  const {Map} = await google.maps.importLibrary('maps');
  const {Place} = await google.maps.importLibrary('places');
}  
```

שלב 4: מאתחלים את ממשקי ה-API של Places ו-App Check

מפעילים את App Check באמצעות ההגדרה שסופקה על ידי מסוף Firebase.
- הוראות לשימוש ב-reCAPTCHA גרסה 3
- הוראות ל-reCAPTCHA Enterprise

מוודאים שהבקשות ל-Maps JavaScript API מלוות בטוקנים של App Check:

  async function init() {
    const {Settings} = await google.maps.importLibrary('core');
    const {Map} = await google.maps.importLibrary('maps');
    const {Place} = await google.maps.importLibrary('places');
  
    const app = initializeApp({
      // Your firebase configuration object
    });
  
    // Pass your reCAPTCHA Enterprise site key to initializeAppCheck().
    const appCheck = initializeAppCheck(app, {
      provider: new ReCaptchaEnterpriseProvider(
        'abcdefghijklmnopqrstuvwxy-1234567890abcd',
      ),
  
      // Optional argument. If true, the SDK automatically refreshes App Check
      // tokens as needed.
      isTokenAutoRefreshEnabled: true,
    });
  
    Settings.getInstance().fetchAppCheckToken = () =>
        getToken(appCheck, /* forceRefresh = */ false);
  
    // Make a Places JS request
    const place = new Place({id: 'ChIJN5Nz71W3j4ARhx5bwpTQEGg'});
    await place.fetchFields({fields: ['*']});
  
    // Load a map
    map = new Map(document.getElementById("map"), {
      center: { lat: 37.4161493, lng: -122.0812166 },
      zoom: 8,
    });
  }

שלב 5: הפעלת ניפוי באגים (אופציונלי)

אם אתם רוצים לפתח ולבדוק את האפליקציה באופן מקומי, או להריץ אותה בסביבת שילוב רציף (CI), אתם יכולים ליצור גרסת build לניפוי באגים של האפליקציה שמשתמשת בסוד לניפוי באגים כדי לקבל אסימונים תקפים של App Check. כך תוכלו להימנע משימוש בספקי אימות אמיתיים בגרסת הניפוי שלכם.

כדי לבדוק את האפליקציה באופן מקומי:

מפעילים את ספק ניפוי הבאגים למטרות פיתוח.
תקבלו מזהה ייחודי אוניברסלי (UUID) אקראי שנוצר באופן אוטומטי (נקרא 'אסימון ניפוי הבאגים' במסמכי App Check) מיומני ניפוי הבאגים של ה-SDK. מוסיפים את הטוקן למסוף Firebase.
מידע נוסף והוראות זמינים במאמרי העזרה בנושא App Check.

כדי להריץ את האפליקציה בסביבת CI:

יוצרים UUID4 אקראי במסוף Firebase.
מוסיפים את ה-UUID4 כאסימון ניפוי באגים, ואז מעתיקים אותו למאגר סודי שהבדיקות של CI יגשו אליו בכל הפעלה של הבדיקה.
מידע נוסף והוראות זמינים במאמרי העזרה בנושא App Check.

שלב 6: מעקב אחרי בקשות האפליקציה והחלטה לגבי אכיפה

לפני שתתחילו לאכוף את השימוש ב-App Check, כדאי לוודא שלא תפריעו למשתמשים לגיטימיים באפליקציה. כדי לעשות זאת, נכנסים למסך המדדים של App Check כדי לראות מה אחוז התנועה באפליקציה שאומת, לא עדכני או לא לגיטימי. אחרי שרואים שרוב התנועה מאומתת, אפשר להפעיל את האכיפה.

מידע נוסף והוראות מופיעים במסמכי התיעוד של Firebase App Check.