Lanzamiento gradual de la Verificación de aplicaciones de Firebase con Firebase Remote Config

1. Introducción

Puedes usar la Verificación de aplicaciones de Firebase con App Attest para proteger tus servicios de backend y verificar que las solicitudes a los servicios de Firebase provengan de tu app auténtica.

Por lo general, se recomienda incorporar a los usuarios de forma gradual al servicio de App Attest para evitar alcanzar los límites de cuota. Para obtener más información, consulta la documentación de Apple sobre "Cómo prepararse para usar el servicio de certificación de aplicaciones".

Capacidad de lanzar actualizaciones de la app de forma incremental con la función App Store Connect de Apple, como se describe en "Cómo lanzar una actualización de versión en fases" puede facilitar el lanzamiento de la Verificación de aplicaciones. Se trata de una solución sencilla y directa. Sin embargo, lanzar una actualización de versión de la app por etapas no te permite controlar el lanzamiento ni cambiar el comportamiento de las apps existentes y actualizadas sin publicar una versión nueva de la app.

Una forma de tener más control sobre el lanzamiento de la Verificación de aplicaciones con App Attest es usar Firebase Remote Config para habilitar la Verificación de aplicaciones con App Attest para un porcentaje de los usuarios de tu app a la vez. Esto puede ayudar a evitar la limitación de los servidores de certificación. Google Analytics se puede usar para observar el impacto del lanzamiento en los usuarios.

Qué aprenderás

En este codelab de varios pasos, aprenderás a usar Firebase Remote Config para lanzar la Verificación de aplicaciones en tu app.

En este codelab, se usa un proyecto de Firebase basado en la app de inicio rápido DatabaseExample y se integra en la Verificación de aplicaciones de Firebase, como se describe en el codelab de la Verificación de aplicaciones de Firebase para plataformas de Apple. La app de inicio rápido de DatabaseExample permite que los usuarios accedan y agreguen publicaciones con las funciones de Firebase Realtime Database.

También puedes adaptar los pasos de este codelab para probar tu propia app.

Requisitos previos

Requisitos

2. Crea un proveedor de certificación personalizado

En este paso, crearemos una clase de proveedor personalizada para proporcionar un token solo cuando App Attest esté habilitado. Remote Config depende de una instancia de app de Firebase configurada, y el proveedor personalizado que implementes en este paso actúa como marcador de posición para finalizar la configuración.

Para completar los siguientes pasos, deberás agregar Firebase, FirebaseRemoteConfig y FirebaseAnalytics en la sección Frameworks, Libraries, and Embedded Content de tu app en Xcode. Para ver un ejemplo de cómo hacerlo, consulta el codelab de la Verificación de aplicaciones de Firebase para plataformas de Apple.

  1. Crea un archivo "MyAppCheckProvider" que sea una subclase de NSObject que cumpla con el protocolo AppCheckProvider.
  2. Incluye un método getToken() vacío que completarás más adelante.

Consulta el siguiente código de ejemplo para la clase de proveedor personalizado con un método getToken() vacío.

// MyAppCheckProvider.swift

import Firebase
import FirebaseAnalytics
import FirebaseAppCheck
import FirebaseRemoteConfig

class MyAppCheckProvider: NSObject, AppCheckProvider {
  func getToken(completion handler: @escaping (AppCheckToken?, Error?) -> Void) {}
}

Para crear una instancia de AppAttestProvider, deberás pasar una instancia del FirebaseApp correspondiente. Crea una propiedad almacenada para ella y acéptala como un parámetro de inicializador:

// MyAppCheckProvider.swift

import Firebase
import FirebaseAnalytics
import FirebaseAppCheck
import FirebaseRemoteConfig

class MyAppCheckProvider: NSObject, AppCheckProvider {
  // Firebase app instance served by the provider.
  let firebaseApp: FirebaseApp

  // The App Check provider factory should pass the FirebaseApp instance.
  init(app: FirebaseApp) {
    self.firebaseApp = app
    super.init()
  }

  func getToken(completion handler: @escaping (AppCheckToken?, Error?) -> Void) {}
}

Reenvía la solicitud de token al proveedor de App Attest

Ahora tienes todo lo necesario para reenviar la solicitud de token al proveedor de App Attest en tu método getToken().

Nota: Obtén más información sobre el método getToken() en la Referencia del framework de FirebaseAppCheck.

Agrega el siguiente código a tu método getToken():

// MyAppCheckProvider.swift

import Firebase
import FirebaseAnalytics
import FirebaseAppCheck
import FirebaseRemoteConfig

class MyAppCheckProvider: NSObject, AppCheckProvider {
  // Firebase app instance served by the provider.
  let firebaseApp: FirebaseApp

  // The App Check provider factory should pass the FirebaseApp instance.
  init(app: FirebaseApp) {
    self.firebaseApp = app
    super.init()
  }

  private lazy var appAttestProvider = AppAttestProvider(app: firebaseApp)

  func getToken(completion handler: @escaping (AppCheckToken?, Error?) -> Void) {
    // Fetch App Attest flag from Remote Config
    let remoteConfig = RemoteConfig.remoteConfig(app: firebaseApp)
    remoteConfig.fetchAndActivate { remoteConfigStatus, error in
      // Get App Attest flag value
      let appAttestEnabled = remoteConfig.configValue(forKey: "AppAttestEnabled").boolValue

      guard appAttestEnabled else {
        // Skip attestation if App Attest is disabled. Another attestation
        // method like DeviceCheck may be used instead of just skipping.
        handler(nil, MyProviderError.appAttestIsDisabled)
        return
      }

      // Try to obtain an App Attest provider instance and fail if cannot
      guard let appAttestProvider = self.appAttestProvider else {
        handler(nil, MyProviderError.appAttestIsUnavailable)
        return
      }

      // If App Attest is enabled for the app instance, then forward the
      // Firebase App Check token request to the App Attest provider
      appAttestProvider.getToken(completion: handler)
    }
  }
}

enum MyProviderError: Error {
  case appAttestIsDisabled
  case appAttestIsUnavailable
  case unexpected(code: Int)
}

El código anterior verifica un parámetro booleano AppAttestEnabled de Remote Config (este parámetro de Remote Config se creará más adelante en el codelab). Si el valor es falso, el código falla, lo que indica que no se lanzó la Verificación de aplicaciones en el dispositivo actual. Si el valor es verdadero, el código intenta obtener un proveedor de App Attest y falla si no puede. Si se aprueban estas verificaciones de errores, el código reenviará la solicitud de token al proveedor de App Attest.

Agrega eventos de Analytics

Si agregas eventos de Analytics, obtendrás mejores estadísticas sobre el éxito del lanzamiento de la Verificación de aplicaciones. Analytics te ayudará a determinar si se debe habilitar App Attest para un público más amplio.

Registra dos eventos de Analytics: AppAttestSuccess en caso de éxito y AppAttestFailure en caso de falla. Estos dos eventos de Analytics pueden ayudarte a hacer un seguimiento del éxito de tu lanzamiento de App Check y a decidir si debes realizar un lanzamiento más grande.

func getToken(completion handler: @escaping (AppCheckToken?, Error?) -> Void) {
  // Fetch Remote Config.
  let remoteConfig = RemoteConfig.remoteConfig(app: firebaseApp)
  remoteConfig.fetchAndActivate { remoteConfigStatus, error in
    // Get App Attest flag value from Remote Config.
    let appAttestEnabled = remoteConfig.configValue(forKey: "AppAttestEnabled").boolValue

    guard appAttestEnabled else {
      // Skip attestation if App Attest is disabled. Another attestation
      // method like DeviceCheck may be used instead of just skipping.
      handler(nil, MyProviderError.appAttestIsDisabled)
      return
    }

    // Try to obtain an App Attest provider instance and fail otherwise.
    guard let appAttestProvider = self.appAttestProvider else {
      handler(nil, MyProviderError.appAttestIsUnavailable)
      return
    }

    // If App Attest is enabled for the app instance, then forward the
    // Firebase App Check token request to the App Attest provider.
    appAttestProvider.getToken { token, error in
      // Log an Analytics event to track attestation success rate.
      let appAttestEvent: String
      if (token != nil && error == nil) {
        appAttestEvent = "AppAttestSuccess"
      } else {
        appAttestEvent = "AppAttestFailure"
      }
      Analytics.logEvent(appAttestEvent, parameters: nil)

      // Pass the result to the handler
      handler(token, error)
    }
  }
}

3. Actualiza la clase de fábrica de proveedores

Después de implementar la lógica para reenviar la solicitud de token al proveedor de App Attest y agregar algunos eventos de Analytics, debes actualizar MyAppCheckProviderFactory.class, que creaste en el codelab de Verificación de aplicaciones para plataformas de Apple. Esta clase se orientará al proveedor de depuración de la Verificación de aplicaciones para simuladores y, de lo contrario, se orientará a tu proveedor personalizado.

Edita el siguiente código en la clase MyAppCheckProviderFactory que creaste en el codelab de Firebase App Check para plataformas de Apple:

// MyAppCheckProviderFactory.swift

import Firebase

class MyAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
      #if targetEnvironment(simulator)
      // App Attest is not available on simulators.
      // Use a debug provider.
      let provider = AppCheckDebugProvider(app: app)

      // Print only locally generated token to avoid a valid token leak on CI.
      print("Firebase App Check debug token: \(provider?.localDebugToken() ?? "" )")

      return provider
      #else
      if #available(iOS 14.0, *) {
        // Use your custom App Attest provider on real devices.
        return MyAppCheckProvider(app: app)
      } else {
        return DeviceCheckProvider(app: app)
      }
      #endif
  }
}

Confirma que configuraste AppCheckProviderFactory antes de configurar FirebaseApp:

// DatabaseExampleApp.swift

import SwiftUI
import Firebase
import FirebaseAppCheck

@main
struct DatabaseExampleApp: App {
  init() {
    AppCheck.setAppCheckProviderFactory(MyAppCheckProviderFactory())
    FirebaseApp.configure()
  }

  // ...
}

4. Agrega un parámetro de Remote Config en Firebase console

Ahora, agregarás el parámetro de Remote Config AppAttestEnabled a Firebase console . Tu método getToken requiere este parámetro.

Para crear un parámetro de Remote Config en Firebase console, haz lo siguiente :

  1. Abre Remote Config para tu proyecto y haz clic en Agregar parámetro. Si es la primera vez que usas Remote Config, haz clic en Crear configuración.
  2. En el campo Nombre del parámetro (clave), ingresa AppAttestEnabled.
  3. En el menú desplegable Tipo de datos, selecciona Booleano.
  4. En el menú desplegable Valor predeterminado, selecciona false.

Cómo crear un parámetro de Remote Config en Firebase console

Antes de hacer clic en Guardar, crea un valor condicional para el 10% de los usuarios:

  1. Haz clic en Agregar nuevo > Valor condicional > Crea una condición nueva.
  2. En el campo Nombre, ingresa el nombre de una condición.
  3. En Se aplica si…, selecciona Usuario en el percentil aleatorio, <= y, luego, ingresa 10 en el campo %.
  4. Haz clic en Crear condición.

Define una condición de Remote Config en Firebase console

Configura el valor condicional en true para que App Attest se implemente en el 10% de los usuarios.

  1. Establece el valor en verdadero para la condición que acabas de crear.
  2. Haz clic en Guardar.

Revisa el parámetro de Remote Config en Firebase console

Cuando hayas terminado, publica los cambios de Remote Config.

Prueba el lanzamiento en tu dispositivo

Para probar los diferentes valores de la marca de Remote Config en tu dispositivo sin modificar el código de la app, configura un experimento en el parámetro AppAttestEnabled siguiendo el instructivo Crea experimentos de Firebase Remote Config con pruebas A/B. La sección del instructivo "Valida tu experimento en un dispositivo de prueba" explica cómo asignar diferentes valores para tu dispositivo de prueba.

El último paso es usar Google Analytics para supervisar el éxito del lanzamiento de la certificación de aplicaciones.

5. Revisa el éxito del lanzamiento de AppCheck

Puedes medir el éxito del lanzamiento en el panel de eventos de Analytics. Observa los eventos AppAttestSuccess y AppAttestFailure. Los eventos pueden tardar hasta 24 horas en aparecer en el panel. Como alternativa, puedes habilitar la depuración y usar DebugView para ver los eventos de depuración más rápido.

De forma opcional, puedes supervisar el panel de Crashlytics para detectar aumentos en las tasas de fallas. Para obtener más información sobre cómo agregar Crashlytics a tu app, consulta Comienza a usar Firebase Crashlytics.

Una vez que veas principalmente eventos AppAttestSuccess y algunos eventos AppAttestFailure, es una buena señal de que puedes aumentar el porcentaje de usuarios con App Attest habilitado modificando la condición en el parámetro AppAttestEnabled de Remote Config.

Revisa eventos de Analytics en Firebase console

Opcional: Aprovecha los públicos de Google Analytics

Si deseas aprovechar aún más el evento de Analytics AppAttestEnabled, puedes crear un Público de Analytics para realizar un seguimiento de los usuarios con AppAttestEnabled establecido en verdadero.

App Attest se lanzó con iOS 14.0. Es posible que algunos de tus usuarios no estén en esta versión y, por lo tanto, no sean aptos para App Attest. Puedes registrar otro evento de Analytics para hacer un seguimiento de estos usuarios y, luego, segmentar ese público para otro método de certificación, como DeviceCheck.

Opcional: Usa Crashlytics para supervisar las fallas

Para comprender mejor la estabilidad de tu app durante el lanzamiento, usa Firebase Crashlytics para supervisar las fallas y los errores recuperables.

6. ¡Felicitaciones!

Lanzaste correctamente la Verificación de aplicaciones con Remote Config 🎉

Recursos adicionales: