Utilizzare App Check per proteggere la chiave API
Firebase App Check protegge le chiamate dalla tua app a Google Maps Platform bloccando il traffico proveniente da origini diverse dalle app legittime. A tal fine, controlla la presenza di un token di un fornitore di attestazioni come App Attest. L'integrazione delle tue app con App Check contribuisce a proteggerti dalle richieste dannose, in modo che non ti vengano addebitate chiamate API non autorizzate.
App Check è la soluzione giusta per me?
App Check è consigliato nella maggior parte dei casi, ma non è necessario o supportato nei seguenti casi:
- Stai utilizzando l'SDK Places originale. Controllo app è supportato solo per l'SDK Places (nuovo).
- App private o sperimentali. Se la tua app non è accessibile pubblicamente, App Check non è necessario.
- Se la tua app viene utilizzata solo in modalità server-to-server, App Check non è necessario. Tuttavia, se il server che comunica con GMP viene utilizzato da client pubblici (ad esempio app mobile), ti consigliamo di utilizzare App Check per proteggere il server anziché GMP.
- I fornitori di attestazioni consigliati da App Check non funzioneranno sui dispositivi ritenuti compromessi o non attendibili dal fornitore di attestazioni. Se devi supportare questi dispositivi, puoi implementare un servizio di attestazione personalizzato. Per ulteriori informazioni, consulta le istruzioni.
Panoramica della procedura di implementazione
In linea generale, questi sono i passaggi da seguire per integrare la tua app con App Check:
- Aggiungi Firebase alla tua app.
- Aggiungi e inizializza la libreria App Check.
- Aggiungi il provider di token all'app.
- Inizializza le API Places e App Check.
- Attiva il debug.
- Monitora le richieste delle app e decidi in merito all'applicazione.
Una volta completata l'integrazione con App Check, potrai visualizzare le metriche sul traffico di backend nella Console Firebase. Queste metriche forniscono una suddivisione delle richieste in base al fatto che siano o meno accompagnate da un token App Check valido. Per ulteriori informazioni, consulta la documentazione di Firebase App Check.
Quando hai la certezza che la maggior parte delle richieste proviene da origini legittime e che gli utenti hanno eseguito l'aggiornamento alla versione più recente della tua app che include l'implementazione di App Check, puoi attivare l'applicazione forzata. Una volta attivata l'applicazione, App Check rifiuterà tutto il traffico senza un token App Check valido.
Considerazioni per la pianificazione di un'integrazione di App Check
Ecco alcuni aspetti da prendere in considerazione durante la pianificazione dell'integrazione:
I fornitori di servizi di attestazione che consigliamo, Device Check o App Attest, sono soggetti a quote e limitazioni impostate da Apple.
Puoi scegliere di utilizzare un fornitore di attestazioni personalizzato, anche se si tratta di un caso d'uso avanzato. Per ulteriori informazioni, consulta la documentazione di Firebase App Check.
-
Gli utenti della tua app riscontreranno una certa latenza all'avvio. Tuttavia, in seguito, qualsiasi nuova attestazione periodica verrà eseguita in background e gli utenti non dovrebbero più riscontrare alcuna latenza. L'importo esatto della latenza all'avvio dipende dal provider di attestazione scelto.
La durata di validità del token App Check (time to live o TTL) determina la frequenza delle nuove attestazioni. Questa durata può essere configurata nella console Firebase. La nuova attestazione avviene quando è trascorsa circa la metà del TTL. Per ulteriori informazioni, consulta la documentazione di Firebase relativa al tuo fornitore di attestazioni.
Integrare l'app con App Check
Prerequisiti e requisiti
- Un'app con la versione 9.2 o successive di Places SDK installata.
- L'ID bundle dell'app.
- Il tuo ID team dal Centro membri di Apple, nella sezione Abbonamento.
- Se prevedi di utilizzare Device Check, il file della chiave privata e l'ID chiave.
- Devi essere il proprietario dell'app in Cloud Console.
- Ti servirà l'ID progetto dell'app dalla console Cloud
Passaggio 1: aggiungi Firebase alla tua app
Segui le istruzioni nella documentazione per gli sviluppatori di Firebase per aggiungere Firebase alla tua app.
Quando registri la tua app, ricevi un file di configurazione, GoogleService-Info.plist
. Aggiungi questo file, non modificato, al livello principale della tua app.
Swift
import FirebaseCore import FirebaseAppCheck import GooglePlaces
Objective-C
@import FirebaseCore; @import FirebaseAppCheck; @import GooglePlaces;
Passaggio 2: aggiungi la libreria App Check e inizializza App Check
Firebase fornisce istruzioni per ogni provider di attestazione predefinito. Queste istruzioni mostrano come configurare un progetto Firebase e aggiungere la libreria App Check alla tua app. Segui gli esempi di codice forniti per inizializzare App Check.
- Segui le istruzioni di Firebase per aggiungere la libreria App Check:
- Inizializza App Check.
- Se utilizzi App Attest, consulta la documentazione per gli sviluppatori di Firebase relativa ad App Attest.
Segui le istruzioni di Firebase App Check per creare un'implementazione di
AppCheckProviderFactory
e aggiungerla al fileAppDelegate
.Swift
let providerFactory = YourAppCheckProviderFactory() AppCheck.setAppCheckProviderFactory(providerFactory)
Objective-C
YourAppCheckProviderFactory *providerFactory = [[YourAppCheckProviderFactory alloc] init]; [FIRAppCheck setAppCheckProviderFactory:providerFactory];
- Se utilizzi il controllo del dispositivo, aggiungi quanto segue al tuo
AppDelegate
:Swift
AppCheck.setAppCheckProviderFactory(DeviceCheckProviderFactory())
Objective-C
[FIRAppCheck setAppCheckProviderFactory:providerFactory];
- Se utilizzi App Attest, consulta la documentazione per gli sviluppatori di Firebase relativa ad App Attest.
Passaggio 3: aggiungi il fornitore di token
Crea un file denominato AppCheckTokenProvider
(o, se utilizzi Objective-C, due file denominati AppCheckTokenProvider.h
e AppCheckTokenProvider.m
) a livello di root dell'app.
Aggiungi le seguenti dichiarazioni di importazione e la definizione della classe:
Swift
// AppCheckTokenProvider.swift import FirebaseAppCheck import Foundation import GooglePlaces class AppCheckTokenProvider: NSObject, GMSPlacesAppCheckTokenProvider { func fetchAppCheckToken() async throws -> String { return try await AppCheck.appCheck().token(forcingRefresh: false).token } }
Objective-C
// AppCheckTokenProvider.h @import Foundation; @import GooglePlaces; @interface AppCheckTokenProvider : NSObject <GMSPlacesAppCheckTokenProvider> @end // AppCheckTokenProvider.m #import "AppCheckTokenProvider.h" @import FirebaseAppCheck; @implementation AppCheckTokenProvider - (void)fetchAppCheckTokenWithCompletion:(nonnull GMSAppCheckTokenCompletion)completion { [[FIRAppCheck appCheck] tokenForcingRefresh:NO completion:^(FIRAppCheckToken *_Nullable token, NSError *_Nullable error) { if (token) { completion(token.token, nil); } else { completion(nil, error); } }]; } @end
Passaggio 4: inizializza le API Places e App Check
- Nel file
AppDelegate
, inizializza l'API Places:Swift
GMSPlacesClient.provideAPIKey("YOUR_API_KEY")
Objective-C
[GMSPlacesClient provideAPIKey:@"YOUR_API_KEY"];
- Quindi, inizializza l'API App Check:
Swift
GMSPlacesClient.setAppCheckTokenProvider(AppCheckTokenProvider())
Objective-C
[GMSPlacesClient setAppCheckTokenProvider:[[AppCheckTokenProvider alloc] init]];
(Facoltativo) Passaggio 5: attiva il debug
Se vuoi sviluppare e testare la tua app localmente o eseguirla in un ambiente di integrazione continua (CI), puoi creare una build di debug dell'app che utilizzi un segreto di debug per ottenere token App Check validi. In questo modo puoi evitare di utilizzare fornitori di attestazioni reali nella build di debug.
Per testare l'app nel simulatore o su un dispositivo di test:
Crea e imposta la fabbrica del provider di debug di App Check.
Questo esempio di codice gestisce sia gli scenari di debug sia quelli di produzione:Swift
#if targetEnvironment(simulator) let providerFactory = AppCheckDebugProviderFactory() #else let providerFactory = YourAppCheckProviderFactory() #endif
Objective-C
if (targetEnvironment == simulator){ FIRAppCheckDebugProviderFactory *providerFactory = [[FIRAppCheckDebugProviderFactory alloc] init]; [FIRAppCheck setAppCheckProviderFactory:providerFactory]; } else { YourAppCheckProviderFactory *providerFactory = [[YourAppCheckProviderFactory alloc] init]; [FIRAppCheck setAppCheckProviderFactory:providerFactory]; }
- Attiva il logging nel progetto Xcode, avvia l'app e trova il token di debug locale nel log.
- Aggiungi questo token alla console Firebase.
- Per ulteriori informazioni e istruzioni, consulta la documentazione di App Check.
Per eseguire l'app in un ambiente CI:
- Crea un token di debug nella console Firebase e aggiungilo al key store sicuro del tuo sistema CI.
- In Xcode, aggiungi una variabile di ambiente allo schema di test con il nome
FIRAAppCheckDebugToken
e$(APP_CHECK_DEBUG_TOKEN)
(o qualcosa di simile) come valore. - Nello script di test CI, passa il token di debug come ambiente
Crea e imposta la fabbrica del provider di debug di App Check.
Questo esempio di codice gestisce sia gli scenari di debug che quelli di produzione:Swift
#if targetEnvironment(ci) let providerFactory = AppCheckDebugProviderFactory() AppCheck.setAppCheckProviderFactory(providerFactory) #else let providerFactory = YourAppCheckProviderFactory() #endif
Objective-C
if (targetEnvironment == ci) { FIRAppCheckDebugProviderFactory *providerFactory = [[FIRAppCheckDebugProviderFactory alloc] init]; [FIRAppCheck setAppCheckProviderFactory:providerFactory]; } else { YourAppCheckProviderFactory *providerFactory = [[YourAppCheckProviderFactory alloc] init]; [FIRAppCheck setAppCheckProviderFactory:providerFactory]; }
- Per ulteriori informazioni e istruzioni, consulta la documentazione di App Check.
Passaggio 6: monitora le richieste di app e decidi in merito all'applicazione
Prima di iniziare l'applicazione, assicurati di non interrompere gli utenti legittimi della tua app. Per farlo, vai alla schermata delle metriche di App Check per vedere quale percentuale del traffico della tua app è verificata, obsoleta o illegittima. Una volta che la maggior parte del traffico è stata verificata, puoi attivare l'applicazione delle norme.
Per ulteriori informazioni e istruzioni, consulta la documentazione di Firebase App Check.