Catch up on everthing we announced at this year's Firebase Summit. Learn more

Habilitar App Check con un proveedor personalizado en Android

Esta página muestra cómo habilitar la aplicación Comprobar en una aplicación para Android, usando su proveedor Comprobar aplicación personalizada . Cuando habilita App Check, ayuda a garantizar que solo su aplicación pueda acceder a los recursos de Firebase de su proyecto.

Si desea utilizar la aplicación Consulte con el proveedor predeterminado SafetyNet, vea Habilitar la aplicación Comprobar con SafetyNet en Android .

Antes de que empieces

1. Agregue la biblioteca App Check a su aplicación

En su módulo (nivel de aplicación) Gradle archivo (normalmente app/build.gradle ), declarar la dependencia para la App de verificación Biblioteca de Android:

Java

dependencies {
    implementation 'com.google.firebase:firebase-appcheck:16.0.0-beta04'
}

Kotlin + KTX

dependencies {
    implementation 'com.google.firebase:firebase-appcheck:16.0.0-beta04'
}

2. Implementar las interfaces de App Check

En primer lugar, es necesario crear clases que implementan la AppCheckProvider y AppCheckProviderFactory interfaces.

Su AppCheckProvider clase debe tener un getToken() método, que recoge toda la información a medida que su aplicación proveedor de comprobación requiere como prueba de autenticidad, y la envía a su servicio de adquisición de señal, a cambio de una App Check token. El SDK de App asas Verificar el almacenamiento en caché manera, por lo que siempre obtener un nuevo token en su implementación de getToken() .

Java

public class YourCustomAppCheckToken extends AppCheckToken {
    private String token;
    private long expiration;

    YourCustomAppCheckToken(String token, long expiration) {
        this.token = token;
        this.expiration = expiration;
    }

    @NonNull
    @Override
    public String getToken() {
        return token;
    }

    @Override
    public long getExpireTimeMillis() {
        return expiration;
    }
}

public class YourCustomAppCheckProvider implements AppCheckProvider {
    @Override
    public Task<AppCheckToken> getToken() {
        // Logic to exchange proof of authenticity for an App Check token and
        //   expiration time.
        // ...

        // Refresh the token early to handle clock skew.
        long expMillis = expirationFromServer * 1000 - 60000;

        // Create AppCheckToken object.
        AppCheckToken appCheckToken =
                YourCustomAppCheckToken(tokenFromServer, expMillis);

        return appCheckToken;
    }
}

Kotlin + KTX

class YourCustomAppCheckToken(
    private val token: String,
    private val expiration: Long
) : AppCheckToken() {
    override fun getToken(): String {
        return token
    }

    override fun getExpireTimeMillis(): Long {
        return expiration
    }
}

class YourCustomAppCheckProvider : AppCheckProvider {
    val token: Task<AppCheckToken>
        get() {
            // Logic to exchange proof of authenticity for an App Check token.
            // ...

            // Refresh the token early to handle clock skew.
            val expMillis: Long = expirationFromServer * 1000 - 60000

            // Create AppCheckToken object.
            val appCheckToken: AppCheckToken =
                    YourCustomAppCheckToken(tokenFromServer, expMillis)

            return appCheckToken!
        }
}

También, implementar un AppCheckProviderFactory clase que crea instancias de su AppCheckProvider aplicación:

Java

public class YourCustomAppCheckProviderFactory implements AppCheckProviderFactory {
  @Override
  public AppCheckProvider create(FirebaseApp firebaseApp) {
    // Create and return an AppCheckProvider object.
    return new YourCustomAppCheckProvider(firebaseApp);
  }
}

Kotlin + KTX

class YourCustomAppCheckProviderFactory : AppCheckProviderFactory {
    fun create(firebaseApp: FirebaseApp): AppCheckProvider {
        // Create and return an AppCheckProvider object.
        return YourCustomAppCheckProvider(firebaseApp)
    }
}

3. Inicializar la verificación de la aplicación

Agrega el siguiente código de inicialización a tu aplicación para que se ejecute antes de usar cualquier otro SDK de Firebase:

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
    YourCustomAppCheckProviderFactory.getInstance());

Kotlin + KTX

FirebaseApp.initializeApp(/*context=*/ this)
val firebaseAppCheck = FirebaseAppCheck.getInstance()
firebaseAppCheck.installAppCheckProviderFactory(
    YourCustomAppCheckProviderFactory.getInstance())

Una vez que la biblioteca App Check esté instalada en su aplicación, comience a distribuir la aplicación actualizada a sus usuarios.

La aplicación cliente actualizada comenzará a enviar tokens de verificación de aplicaciones junto con cada solicitud que realice a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección de verificación de aplicaciones de la consola de Firebase. Consulte las dos secciones siguientes para obtener más detalles.

4. Supervisar las métricas de solicitudes

Ahora que su aplicación actualizada está en manos de los usuarios, puede habilitar la aplicación de App Check para los productos de Firebase que usa. Sin embargo, antes de hacerlo, debe asegurarse de que hacerlo no afectará a sus usuarios legítimos existentes.

Realtime Database, Cloud Firestore y Cloud Storage

Una herramienta importante que puede utilizar para tomar esta decisión para Realtime Database, Cloud Firestore y Cloud Storage es la pantalla de métricas de solicitud de verificación de aplicaciones.

Para ver la solicitud Comprobar las métricas de la aplicación de un producto, abra la Configuración del proyecto> Aplicación Comprobar la sección de la consola Firebase. Por ejemplo:

Captura de pantalla de la página de métricas de App Check

Las métricas de solicitud para cada producto se dividen en cuatro categorías:

  • Solicitudes verificadas son los que tienen una aplicación válida Compruebe token. Después de habilitar la aplicación de App Check, solo las solicitudes de esta categoría tendrán éxito.

  • Solicitudes de los clientes que han sido superados son los que faltan un token Comprobar la aplicación. Estas solicitudes pueden ser de una versión anterior del SDK de Firebase antes de que se incluyera App Check en la aplicación.

  • Solicitudes de origen desconocido son los que faltan una aplicación Compruebe razón, y no parece que vienen desde el SDK Firebase. Estos pueden provenir de solicitudes realizadas con claves de API robadas o solicitudes falsificadas realizadas sin el SDK de Firebase.

  • Las solicitudes no válidas son aquellas que tienen una aplicación no válida Compruebe token, que puede ser desde un cliente no auténtico intento de hacerse pasar por su aplicación, o de ambientes emulados.

La distribución de estas categorías para su aplicación debe informar cuándo decide habilitar la aplicación. A continuación se muestran algunas pautas:

  • Si casi todas las solicitudes recientes provienen de clientes verificados, considere habilitar la aplicación para comenzar a proteger sus recursos de backend.

  • Si una parte significativa de las solicitudes recientes provienen de clientes probablemente obsoletos, para evitar interrumpir a los usuarios, considere esperar a que más usuarios actualicen su aplicación antes de habilitar la aplicación. La aplicación de App Check en una aplicación lanzada romperá las versiones anteriores de la aplicación que no están integradas con App Check SDK.

  • Si su aplicación aún no se ha lanzado, debe habilitar la aplicación de App Check inmediatamente, ya que no hay clientes desactualizados en uso.

Funciones en la nube

Para Cloud Functions, puede obtener métricas de App Check examinando los registros de sus funciones. Cada invocación de una función invocable emite una entrada de registro estructurada como el siguiente ejemplo:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Se pueden analizar estas métricas en Google Cloud Console mediante la creación de unos registros basados en el contador métrico con el siguiente filtro métrica:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Etiquetar la métrica utilizando el campo jsonPayload.verifications.appCheck .

5. Habilitar la aplicación

Para habilitar la aplicación, siga las instrucciones para cada producto, a continuación. Una vez que habilite la aplicación para un producto, se rechazarán todas las solicitudes no verificadas a ese producto.

Realtime Database, Cloud Firestore y Cloud Storage

Para habilitar la aplicación para Realtime Database, Cloud Firestore (iOS y Android) y Cloud Storage:

  1. Abrir el Registro Ajustes del proyecto> Aplicación sección de la consola Firebase.

  2. Expanda la vista de métricas del producto para el que desea habilitar la aplicación.

  3. Haga clic en Hacer cumplir y confirmar su elección.

Tenga en cuenta que pueden pasar hasta 10 minutos después de habilitar la aplicación para que surta efecto.

Funciones en la nube

Consulte Activar la aplicación Verificar el cumplimiento de las funciones de la nube .