Seleziona la piattaforma: Android iOS JavaScript

Utilizzare App Check per proteggere la chiave API

Firebase App Check fornisce protezione per le chiamate dalla tua app a Google Maps Platform bloccando il traffico proveniente da fonti diverse dalle app legittime. A questo scopo, controlla la presenza di un token di un provider di attestazione come Play Integrity. L'integrazione delle tue app con App Check aiuta a proteggerti dalle richieste dannose, in modo che non ti vengano addebitati costi per le chiamate API non autorizzate.

App Check è adatto a me?

App Check è consigliato nella maggior parte dei casi, tuttavia non è necessario o non è supportato nei seguenti casi:

  • Stai utilizzando l'SDK Places originale. App Check è supportato solo per Places SDK (New).
  • App private o sperimentali. Se la tua app non è accessibile pubblicamente, App Check non è necessario.
  • Se la tua app viene utilizzata solo da server a server, App Check non è necessario. Tuttavia, se il server che comunica con GMP viene utilizzato da client pubblici (ad esempio app mobile), valuta la possibilità di utilizzare App Check per proteggere il server anziché GMP.
  • I provider di attestazione consigliati di App Check non funzionano sui dispositivi considerati compromessi o non attendibili dal provider di attestazione. Se devi supportare questi dispositivi, puoi eseguire il deployment di un servizio di attestazione personalizzato. Per saperne di più, consulta le istruzioni.

Panoramica dei passaggi di implementazione

In linea generale, ecco i passaggi da seguire per integrare la tua app con App Check:

  1. Aggiungi Firebase alla tua app.
  2. Aggiungi e inizializza la libreria App Check.
  3. Aggiungi il provider di token.
  4. Attiva il debug.
  5. Monitora le richieste dell'app e decidi l'applicazione.

Una volta completata l'integrazione con App Check, potrai visualizzare le metriche del traffico di backend nella console Firebase. Queste metriche forniscono una suddivisione delle richieste in base alla presenza di un token App Check valido. Per saperne di più, consulta la documentazione di Firebase App Check.

Quando hai la certezza che la maggior parte delle richieste provenga da fonti legittime e che gli utenti abbiano eseguito l'aggiornamento all'ultima versione dell'app che include l'implementazione di App Check, puoi attivare l'applicazione. Una volta attivata l'applicazione, App Check rifiuterà tutto il traffico senza un token App Check valido.

Considerazioni sulla pianificazione di un'integrazione di App Check

Ecco alcuni aspetti da considerare durante la pianificazione dell'integrazione:

  • Il provider di attestazione che consigliamo, Play Integrity, ha un limite di chiamate giornaliero per il livello di utilizzo dell'API Standard. Per saperne di più sui limiti di chiamata, consulta la pagina Configurazione nella documentazione per gli sviluppatori di Google Play Integrity.

    Puoi anche scegliere di utilizzare un provider di attestazione personalizzato, anche se si tratta di un caso d'uso avanzato. Per saperne di più, consulta Implementare un provider App Check personalizzato.

  • Gli utenti della tua app riscontreranno una certa latenza all'avvio. Tuttavia, in seguito, qualsiasi riattestazione periodica verrà eseguita in background e gli utenti non dovrebbero più riscontrare alcuna latenza. La quantità esatta di latenza all'avvio dipende dal provider di attestazione scelto.

    La durata di validità del token App Check (la durata o TTL) determina la frequenza delle riattestazioni. Questa durata può essere configurata nella console Firebase. La riattestazione si verifica quando è trascorso circa metà del TTL. Per saperne di più, consulta la documentazione di Firebase per il provider di attestazione.

Integrare l'app con App Check

Prerequisiti e requisiti

  • Un'app con Places SDK versione 4.1 o successive integrata.
  • La fingerprint SHA-256 della tua app.
  • Il nome del pacchetto dell'app.
  • Devi essere il proprietario dell'app nella console Cloud.
  • Avrai bisogno dell'ID progetto dell'app dalla console Cloud.

Passaggio 1: aggiungi Firebase alla tua app

Segui le istruzioni nella documentazione per gli sviluppatori di Firebase per aggiungere Firebase alla tua app.

Passaggio 2: aggiungi la libreria App Check e inizializza App Check

Per informazioni sull'utilizzo di Play Integrity, il provider di attestazione predefinito, consulta Iniziare a utilizzare App Check con Play Integrity su Android.

  1. Se non l'hai già fatto, integra Places SDK nella tua app.

  2. Quindi, inizializza App Check e il client Places.

    // Initialize App Check
FirebaseApp.initializeApp(/* context= */ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());
  
// Initialize Places SDK
Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
PlacesClient client = Places.createClient(context);.

Passaggio 3: aggiungi il provider di token

Dopo aver inizializzato l'API Places, chiama setPlacesAppCheckTokenProvider() per impostare PlacesAppCheckTokenProvider. 

Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
Places.setPlacesAppCheckTokenProvider(new TokenProvider());
PlacesClient client = Places.createClient(context);.

Di seguito è riportata un'implementazione di esempio dell'interfaccia del recupero dei token: 

  /** Sample client implementation of App Check token fetcher interface. */
  static class TokenProvider implements PlacesAppCheckTokenProvider {
    @Override
    public ListenableFuture<String> fetchAppCheckToken() {
      SettableFuture<String> future = SettableFuture.create();
      FirebaseAppCheck.getInstance()
          .getAppCheckToken(false)
          .addOnSuccessListener(
              appCheckToken -> {
                future.set(appCheckToken.getToken());
              })
          .addOnFailureListener(
              ex -> {
                future.setException(ex);
              });

      return future;
    }
  }

Passaggio 4: attiva il debug (facoltativo)

Se vuoi sviluppare e testare la tua app localmente o eseguirla in un ambiente di integrazione continua (CI), puoi creare una build di debug dell'app che utilizza un secret di debug per ottenere token App Check validi. In questo modo, puoi evitare di utilizzare provider di attestazione reali nella build di debug.

Per eseguire l'app in un emulatore o su un dispositivo di test:

  • Aggiungi la libreria App Check al file build.gradle.
  • Configura App Check in modo che utilizzi la factory del provider di debug nella build di debug.
  • Avvia l'app, che creerà un token di debug locale. Aggiungi questo token alla console Firebase.
  • Per saperne di più e per istruzioni, consulta la documentazione di App Check.

Per eseguire l'app in un ambiente CI:

  • Crea un token di debug nella console Firebase e aggiungilo all'archivio chiavi sicuro del sistema CI.
  • Aggiungi la libreria App Check al file build.gradle.
  • Configura la variante di compilazione CI in modo che utilizzi il token di debug.
  • Inserisci il codice nelle classi di test che richiedono un token App Check con DebugAppCheckTestHelper.
  • Per saperne di più e per istruzioni, consulta la documentazione di App Check.

Passaggio 5: monitora le richieste dell'app e decidi l'applicazione

Prima di iniziare l'applicazione, assicurati di non interrompere gli utenti legittimi della tua app. Per farlo, visita la schermata delle metriche di App Check per vedere la percentuale di traffico dell'app verificata, obsoleta o illegittima. Una volta verificato che la maggior parte del traffico è verificata, puoi attivare l'applicazione.

Per saperne di più e per istruzioni, consulta la documentazione di Firebase App Check.