En esta página, se muestra cómo habilitar la Verificación de aplicaciones en una app para Android mediante el proveedor personalizado de la Verificación de aplicaciones. Cuando habilitas la Verificación de aplicaciones, ayudas a garantizar que solo la app pueda acceder a los recursos de Firebase de tu proyecto.
Si deseas usar la Verificación de aplicaciones mediante el proveedor de Play Integrity predeterminado, consulta Habilita la Verificación de aplicaciones mediante Play Integrity en Android.
Antes de comenzar
Si aún no lo has hecho, agrega Firebase al proyecto de Android.
Implementa la lógica del servidor del proveedor personalizado de la Verificación de aplicaciones.
1. Agrega la biblioteca de la Verificación de aplicaciones a la app
En el archivo Gradle del módulo (a nivel de app) (generalmente<project>/<app-module>/build.gradle.kts o <project>/<app-module>/build.gradle), agrega la dependencia de la biblioteca de la Verificación de aplicaciones desde la app para Android. Te recomendamos usar la BoM de Firebase para Android para controlar las versiones de la biblioteca.
dependencies {
// Import the BoM for the Firebase platform
implementation(platform("com.google.firebase:firebase-bom:32.7.1"))
// Add the dependency for the App Check library
// When using the BoM, you don't specify versions in Firebase library dependencies
implementation("com.google.firebase:firebase-appcheck")
}
Si usas la BoM de Firebase para Android, tu app siempre utilizará versiones compatibles de las bibliotecas de Firebase para Android.
(Alternativa) Agrega dependencias de la biblioteca de Firebase sin usar la BoM
Si eliges no usar la BoM de Firebase, debes especificar cada versión de la biblioteca de Firebase en su línea de dependencia.
Ten en cuenta que, si usas múltiples bibliotecas de Firebase en tu app, es muy recomendable que utilices la BoM para administrar las versiones de las bibliotecas para garantizar que todas las versiones sean compatibles.
dependencies {
// Add the dependency for the App Check library
// When NOT using the BoM, you must specify versions in Firebase library dependencies
implementation("com.google.firebase:firebase-appcheck:17.1.1")
}
2. Implementa las interfaces de la Verificación de aplicaciones
Primero, debes crear las clases que implementen las interfaces AppCheckProvider y AppCheckProviderFactory.
La clase AppCheckProvider debe tener un método getToken(), que recopila
toda la información que tu proveedor personalizado de la Verificación de aplicaciones requiere como prueba de
autenticidad. Luego, la envía al servicio de adquisición de tokens a cambio de un
token de la Verificación de aplicaciones. El SDK de la Verificación de aplicaciones controla el almacenamiento en caché de tokens, por lo que siempre debes obtener
un token nuevo en la implementación de getToken().
Kotlin+KTX
class YourCustomAppCheckToken(
private val token: String,
private val expiration: Long,
) : AppCheckToken() {
override fun getToken(): String = token
override fun getExpireTimeMillis(): Long = expiration
}
class YourCustomAppCheckProvider(firebaseApp: FirebaseApp) : AppCheckProvider {
override fun getToken(): Task<AppCheckToken> {
// Logic to exchange proof of authenticity for an App Check token and
// expiration time.
// ...
// Refresh the token early to handle clock skew.
val expMillis = expirationFromServer * 1000L - 60000L
// Create AppCheckToken object.
val appCheckToken: AppCheckToken = YourCustomAppCheckToken(tokenFromServer, expMillis)
return Tasks.forResult(appCheckToken)
}
}Java
public class YourCustomAppCheckToken extends AppCheckToken {
private String token;
private long expiration;
YourCustomAppCheckToken(String token, long expiration) {
this.token = token;
this.expiration = expiration;
}
@NonNull
@Override
public String getToken() {
return token;
}
@Override
public long getExpireTimeMillis() {
return expiration;
}
}
public class YourCustomAppCheckProvider implements AppCheckProvider {
public YourCustomAppCheckProvider(FirebaseApp firebaseApp) {
// ...
}
@NonNull
@Override
public Task<AppCheckToken> getToken() {
// Logic to exchange proof of authenticity for an App Check token and
// expiration time.
// ...
// Refresh the token early to handle clock skew.
long expMillis = expirationFromServer * 1000L - 60000L;
// Create AppCheckToken object.
AppCheckToken appCheckToken =
new YourCustomAppCheckToken(tokenFromServer, expMillis);
return Tasks.forResult(appCheckToken);
}
}Además, implementa una clase AppCheckProviderFactory que cree instancias de la
implementación AppCheckProvider:
Kotlin+KTX
class YourCustomAppCheckProviderFactory : AppCheckProviderFactory {
override fun create(firebaseApp: FirebaseApp): AppCheckProvider {
// Create and return an AppCheckProvider object.
return YourCustomAppCheckProvider(firebaseApp)
}
}Java
public class YourCustomAppCheckProviderFactory implements AppCheckProviderFactory {
@NonNull
@Override
public AppCheckProvider create(@NonNull FirebaseApp firebaseApp) {
// Create and return an AppCheckProvider object.
return new YourCustomAppCheckProvider(firebaseApp);
}
}3. Inicializa la Verificación de aplicaciones
Agrega el siguiente código de inicialización a la app para que se ejecute antes de usar cualquier otro SDK de Firebase:
Kotlin+KTX
Firebase.initialize(context)
Firebase.appCheck.installAppCheckProviderFactory(
YourCustomAppCheckProviderFactory(),
)Java
FirebaseApp.initializeApp(/*context=*/ context);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
new YourCustomAppCheckProviderFactory());Próximos pasos
Una vez que esté instalada la biblioteca de la Verificación de aplicaciones en la app, comienza a distribuir la app actualizada a tus usuarios.
La app cliente actualizada comenzará a enviar tokens de la Verificación de aplicaciones junto con cada solicitud que realice a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilites la aplicación forzosa en la sección de la Verificación de aplicaciones de Firebase console.
Supervisa las métricas y habilita la aplicación forzosa
Sin embargo, antes de habilitar la aplicación forzosa, debes asegurarte de que esto no interrumpa a tus usuarios legítimos existentes. Por otro lado, si ves un uso sospechoso de los recursos de tu app, te convendrá habilitar la aplicación más pronto.
Para ayudarte a tomar esta decisión, puedes consultar las métricas de la Verificación de aplicaciones para los servicios que usas:
- Supervisa las métricas de solicitudes de la Verificación de aplicaciones para Realtime Database, Cloud Firestore, Cloud Storage y Authentication (beta).
- Supervisa las métricas de solicitudes de la Verificación de aplicaciones para Cloud Functions.
Habilita la aplicación forzosa de la Verificación de aplicaciones
Cuando comprendas cómo la Verificación de aplicaciones afectará a los usuarios y cuentes con todo lo necesario para continuar, puedes habilitar la aplicación forzosa de la Verificación de aplicaciones:
- Habilita la aplicación forzosa de la Verificación de aplicaciones para Realtime Database, Cloud Firestore, Cloud Storage y Authentication (beta).
- Habilita la aplicación forzosa de la Verificación de aplicaciones para Cloud Functions.
Usa la Verificación de aplicaciones en entornos de depuración
Si, después de registrar la app en la Verificación de aplicaciones, quieres ejecutarla en un entorno que la Verificación de aplicaciones no suele clasificar como válido, como un emulador durante el desarrollo o desde un entorno de integración continua (CI), puedes crear una compilación de depuración de la app que use el proveedor de depuración de la Verificación de aplicaciones, en lugar de un proveedor de certificación real.
Consulta Usa la Verificación de aplicaciones mediante el proveedor de depuración en Android.