Usar a verificação de app para proteger sua chave de API
O Firebase App Check protege as chamadas do seu app para a Plataforma Google Maps, bloqueando o tráfego de fontes que não sejam apps legítimos. Para isso, ele verifica um token de um provedor de atestado, como o Play Integrity. A integração dos seus apps com o App Check ajuda a proteger contra solicitações maliciosas, para que você não seja cobrado por chamadas de API não autorizadas.
A Verificação de app é ideal para mim?
O App Check é recomendado na maioria dos casos, mas não é necessário nem compatível nos seguintes casos:
- Você está usando o SDK original do Places. O App Check só é compatível com o SDK do Places (novo).
- Apps particulares ou experimentais. Se o app não for acessível publicamente, o App Check não será necessário.
- Se o app for usado apenas de servidor para servidor, o App Check não será necessário. No entanto, se o servidor que se comunica com o GMP for usado por clientes públicos (como apps para dispositivos móveis), considere usar o App Check para proteger esse servidor em vez do GMP.
- Os provedores de atestado recomendados pelo App Check não funcionam em dispositivos considerados comprometidos ou não confiáveis pelo provedor de atestado. Se você precisar oferecer suporte a esses dispositivos, implante um serviço de atestado personalizado. Para mais informações, consulte as instruções.
Visão geral das etapas de implementação
Em um nível alto, estas são as etapas que você vai seguir para integrar seu app com o App Check:
- Adicione o Firebase ao aplicativo.
- Adicione e inicialize a biblioteca do App Check.
- Adicione o provedor de token.
- Ative a depuração.
- Monitore as solicitações do app e decida sobre a aplicação.
Depois de integrar o App Check, você poderá conferir as métricas de tráfego de back-end no console do Firebase. Essas métricas detalham as solicitações que são acompanhadas por um token válido do App Check. Consulte a documentação do Firebase App Check para mais informações.
Quando você tiver certeza de que a maioria das solicitações é de fontes legítimas e que os usuários atualizaram para a versão mais recente do app que inclui a implementação do App Check, ative a aplicação obrigatória. Quando a aplicação estiver ativada, o App Check vai rejeitar todo o tráfego sem um token válido.
Considerações ao planejar uma integração do App Check
Veja alguns aspectos a serem considerados ao planejar a integração:
O provedor de atestado que recomendamos, a Play Integrity, tem um limite de chamadas diárias para o nível de uso da API padrão. Para mais informações sobre os limites de chamada, consulte a página Configuração na documentação para desenvolvedores da Integridade do Google Play.
Você também pode usar um provedor de atestado personalizado, embora esse seja um caso de uso avançado. Para mais informações, consulte Implementar um provedor personalizado do App Check.
-
Os usuários do app vão enfrentar alguma latência na inicialização. No entanto, depois disso, qualquer recertificação periódica vai ocorrer em segundo plano, e os usuários não vão mais ter latência. A quantidade exata de latência na inicialização depende do provedor de atestado escolhido.
O tempo de validade do token do App Check (o time to live, ou TTL) determina a frequência dos novos atestados. Essa duração pode ser configurada no console do Firebase. A recertificação ocorre quando aproximadamente metade do TTL já passou. Para mais informações, consulte os documentos do Firebase para seu provedor de atestados.
Integrar seu app com o App Check
Pré-requisitos e requisitos
- Um app com o SDK do Places versão 4.1 ou mais recente integrado.
- A impressão digital SHA-256 do app.
- O nome do pacote do app.
- Você precisa ser o proprietário do app no Cloud Console.
- Você vai precisar do ID do projeto do app no Cloud Console.
Etapa 1: adicionar o Firebase ao app
Siga as instruções na documentação para desenvolvedores do Firebase para adicionar o Firebase ao seu app.
Etapa 2: adicionar a biblioteca do App Check e inicializar o App Check
Para saber como usar a Play Integrity, o provedor de atestado padrão, consulte Comece a usar o App Check com a Play Integrity no Android.
- Integre o SDK do Places ao seu app, caso ainda não tenha feito isso.
Em seguida, inicialize o App Check e o cliente do Places.
// Initialize App Check FirebaseApp.initializeApp(/*context=*/ this); FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance(); firebaseAppCheck.installAppCheckProviderFactory( PlayIntegrityAppCheckProviderFactory.getInstance()); // Initialize Places SDK Places.initializeWithNewPlacesApiEnabled(context, API_KEY); PlacesClient client = Places.createClient(context);.
Etapa 3: adicionar o provedor de tokens
Depois de inicializar a Places API, chame setPlacesAppCheckTokenProvider()
para definir o PlacesAppCheckTokenProvider
.
Places.initializeWithNewPlacesApiEnabled(context, API_KEY); Places.setPlacesAppCheckTokenProvider(new TokenProvider()); PlacesClient client = Places.createClient(context);.
Confira um exemplo de implementação da interface do extrator de tokens:
/** Sample client implementation of App Check token fetcher interface. */ static class TokenProvider implements PlacesAppCheckTokenProvider { @Override public ListenableFuture<String> fetchAppCheckToken() { SettableFuture<String> future = SettableFuture.create(); FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener( appCheckToken -> { future.set(appCheckToken.getToken()); }) .addOnFailureListener( ex -> { future.setException(ex); }); return future; } }
Etapa 4: ativar a depuração (opcional)
Se você quiser desenvolver e testar seu app localmente ou executá-lo em um ambiente de integração contínua (CI), crie um build de depuração do app que use um segredo de depuração para receber tokens válidos do App Check. Isso evita o uso de provedores de atestado reais no build de depuração.
Para executar o app em um emulador ou em um dispositivo de teste:
- Adicione a biblioteca App Check ao arquivo
build.gradle
. - Configure o App Check para usar a fábrica do provedor de depuração no build de depuração.
- Inicie o app, que vai criar um token de depuração local. Adicione esse token ao Console do Firebase.
- Para mais informações e instruções, consulte a documentação do App Check.
Para executar o app em um ambiente de CI:
- Crie um token de depuração no console do Firebase e adicione-o ao repositório de chaves seguro do sistema de CI.
- Adicione a biblioteca App Check ao arquivo
build.gradle
. - Configure a variante de build do CI para usar o token de depuração.
- Encapsule o código nas classes de teste que precisam de um token do App Check com
DebugAppCheckTestHelper
. - Para mais informações e instruções, consulte a documentação do App Check.
Etapa 5: monitorar as solicitações do app e decidir sobre a aplicação
Antes de começar a aplicação, verifique se você não vai interromper os usuários legítimos do app. Para isso, acesse a tela de métricas do App Check e veja qual porcentagem do tráfego do app é verificada, desatualizada ou não legítima. Quando a maioria do seu tráfego estiver verificado, você poderá ativar a aplicação.
Consulte a documentação do Firebase App Check para mais informações e instruções.