Aktifkan Pemeriksaan Aplikasi dengan Integritas Play di Android

Halaman ini menunjukkan cara mengaktifkan App Check di aplikasi Android, menggunakan penyedia Play Integrity bawaan. Saat mengaktifkan App Check, Anda membantu memastikan bahwa hanya aplikasi Anda yang dapat mengakses sumber daya Firebase proyek Anda. Lihat Ikhtisar fitur ini.

Saat ini, penyedia Integritas Play bawaan hanya mendukung aplikasi Android yang didistribusikan oleh Google Play. Untuk menggunakan fitur di luar Play Integritas Play, atau untuk menggunakan App Check dengan penyedia kustom Anda sendiri, lihat Menerapkan penyedia App Check kustom .

1. Siapkan proyek Firebase Anda

  1. Tambahkan Firebase ke proyek Android Anda jika Anda belum melakukannya.

  2. Aktifkan API Integritas Play:

    1. Di Konsol Google Play , pilih aplikasi Anda, atau tambahkan jika Anda belum melakukannya.

    2. Di bagian Rilis , klik Penyiapan > Integritas aplikasi .

    3. Pada halaman Integrity API , klik Tautkan proyek , lalu pilih proyek Firebase Anda dari daftar proyek Google Cloud.

      Proyek yang Anda pilih di sini harus merupakan proyek Firebase yang sama dengan proyek tempat Anda mendaftarkan aplikasi (lihat langkah berikutnya).

  3. Daftarkan aplikasi Anda untuk menggunakan App Check dengan penyedia Play Integrity di bagian App Check di Firebase console. Anda harus memberikan sidik jari SHA-256 dari sertifikat penandatanganan aplikasi Anda.

    Anda biasanya perlu mendaftarkan semua aplikasi proyek Anda, karena setelah Anda mengaktifkan penerapan untuk produk Firebase, hanya aplikasi terdaftar yang dapat mengakses sumber daya backend produk.

  4. Opsional : Dalam pengaturan pendaftaran aplikasi, setel waktu-untuk-langsung (TTL) khusus untuk token Pemeriksaan Aplikasi yang dikeluarkan oleh penyedia. Anda dapat mengatur TTL ke nilai apa pun antara 30 menit dan 7 hari. Saat mengubah nilai ini, perhatikan pengorbanan berikut:

    • Keamanan: TTL yang lebih pendek memberikan keamanan yang lebih kuat, karena mengurangi jendela di mana token yang bocor atau dicegat dapat disalahgunakan oleh penyerang.
    • Performa: TTL yang lebih pendek berarti aplikasi Anda akan melakukan pengesahan lebih sering. Karena proses pengesahan aplikasi menambahkan latensi ke permintaan jaringan setiap kali dilakukan, TTL singkat dapat memengaruhi kinerja aplikasi Anda.
    • Kuota dan biaya: TTL yang lebih pendek dan pengesahan ulang yang sering menghabiskan kuota Anda lebih cepat, dan untuk layanan berbayar, berpotensi lebih mahal. Lihat Kuota & batas .

    TTL default 1 jam masuk akal untuk sebagian besar aplikasi. Perhatikan bahwa pustaka App Check menyegarkan token kira-kira setengah dari durasi TTL.

2. Tambahkan perpustakaan App Check ke aplikasi Anda

Dengan menggunakan Firebase Android BoM , deklarasikan dependensi untuk library Android App Check di file Gradle modul (level aplikasi) Anda (biasanya app/build.gradle ).

Java

dependencies {
    // Import the BoM for the Firebase platform
    implementation platform('com.google.firebase:firebase-bom:30.1.0')

    // Declare the dependency for the App Check library
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation 'com.google.firebase:firebase-appcheck-playintegrity'
}

Dengan menggunakan Firebase Android BoM , aplikasi Anda akan selalu menggunakan versi library Firebase Android yang kompatibel.

(Alternatif) Deklarasikan dependensi library Firebase tanpa menggunakan BoM

Jika Anda memilih untuk tidak menggunakan Firebase BoM, Anda harus menentukan setiap versi pustaka Firebase di baris dependensinya.

Perhatikan bahwa jika Anda menggunakan beberapa pustaka Firebase di aplikasi Anda, kami sangat menyarankan penggunaan BoM untuk mengelola versi pustaka, yang memastikan bahwa semua versi kompatibel.

dependencies {
    // Declare the dependency for the App Check library
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation 'com.google.firebase:firebase-appcheck-playintegrity:16.0.0'
}

Kotlin+KTX

dependencies {
    // Import the BoM for the Firebase platform
    implementation platform('com.google.firebase:firebase-bom:30.1.0')

    // Declare the dependency for the App Check library
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation 'com.google.firebase:firebase-appcheck-playintegrity'
}

Dengan menggunakan Firebase Android BoM , aplikasi Anda akan selalu menggunakan versi library Firebase Android yang kompatibel.

(Alternatif) Deklarasikan dependensi library Firebase tanpa menggunakan BoM

Jika Anda memilih untuk tidak menggunakan Firebase BoM, Anda harus menentukan setiap versi pustaka Firebase di baris dependensinya.

Perhatikan bahwa jika Anda menggunakan beberapa pustaka Firebase di aplikasi Anda, kami sangat menyarankan penggunaan BoM untuk mengelola versi pustaka, yang memastikan bahwa semua versi kompatibel.

dependencies {
    // Declare the dependency for the App Check library
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation 'com.google.firebase:firebase-appcheck-playintegrity:16.0.0'
}

3. Inisialisasi Pemeriksaan Aplikasi

Tambahkan kode inisialisasi berikut ke aplikasi Anda agar dapat berjalan sebelum Anda menggunakan SDK Firebase lainnya:

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());

Kotlin+KTX

FirebaseApp.initializeApp(/*context=*/this)
val firebaseAppCheck = FirebaseAppCheck.getInstance()
firebaseAppCheck.installAppCheckProviderFactory(
    PlayIntegrityAppCheckProviderFactory.getInstance()
)

Setelah pustaka App Check dipasang di aplikasi Anda, mulailah mendistribusikan aplikasi yang diperbarui ke pengguna Anda.

Aplikasi klien yang diperbarui akan mulai mengirimkan token App Check bersama dengan setiap permintaan yang dibuatnya ke Firebase, tetapi produk Firebase tidak akan mengharuskan token valid sampai Anda mengaktifkan penegakan di bagian App Check di Firebase console. Lihat dua bagian berikutnya untuk detailnya.

4. Pantau metrik permintaan

Setelah aplikasi Anda yang diperbarui ada di tangan pengguna, Anda dapat mengaktifkan penerapan App Check untuk produk Firebase yang Anda gunakan. Namun, sebelum Anda melakukannya, Anda harus memastikan bahwa hal itu tidak akan mengganggu pengguna sah Anda yang sudah ada.

Database Realtime, Cloud Firestore, dan Cloud Storage

Alat penting yang dapat Anda gunakan untuk membuat keputusan ini untuk Realtime Database, Cloud Firestore, dan Cloud Storage adalah layar metrik permintaan App Check.

Untuk melihat metrik permintaan App Check untuk suatu produk, buka bagian App Check di Firebase console. Sebagai contoh:

Tangkapan layar halaman metrik Pemeriksaan Aplikasi

Metrik permintaan untuk setiap produk dipecah menjadi empat kategori:

  • Permintaan terverifikasi adalah permintaan yang memiliki token App Check yang valid. Setelah Anda mengaktifkan penerapan App Check, hanya permintaan dalam kategori ini yang akan berhasil.

  • Permintaan klien yang kedaluwarsa adalah permintaan yang tidak memiliki token App Check. Permintaan ini mungkin berasal dari versi Firebase SDK yang lebih lama sebelum App Check disertakan dalam aplikasi.

  • Permintaan asal tidak diketahui adalah permintaan yang tidak memiliki token App Check, dan sepertinya tidak berasal dari Firebase SDK. Ini mungkin dari permintaan yang dibuat dengan kunci API curian atau permintaan palsu yang dibuat tanpa Firebase SDK.

  • Permintaan yang tidak valid adalah permintaan yang memiliki token App Check yang tidak valid, yang mungkin berasal dari klien tidak autentik yang mencoba meniru aplikasi Anda, atau dari lingkungan yang diemulasi.

Distribusi kategori ini untuk aplikasi Anda harus memberi tahu saat Anda memutuskan untuk mengaktifkan penegakan. Berikut adalah beberapa pedoman:

  • Jika hampir semua permintaan terbaru berasal dari klien terverifikasi, pertimbangkan untuk mengaktifkan penegakan untuk mulai melindungi sumber daya backend Anda.

  • Jika sebagian besar permintaan terbaru berasal dari klien yang kemungkinan sudah usang, untuk menghindari mengganggu pengguna, pertimbangkan untuk menunggu lebih banyak pengguna mengupdate aplikasi Anda sebelum mengaktifkan penerapan. Menerapkan App Check pada aplikasi yang dirilis akan merusak versi aplikasi sebelumnya yang tidak terintegrasi dengan App Check SDK.

  • Jika aplikasi Anda belum diluncurkan, Anda harus segera mengaktifkan penerapan App Check, karena tidak ada klien lama yang digunakan.

Fungsi Cloud

Untuk Cloud Functions, Anda bisa mendapatkan metrik App Check dengan memeriksa log fungsi Anda. Setiap pemanggilan fungsi yang dapat dipanggil memancarkan entri log terstruktur seperti contoh berikut:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Anda dapat menganalisis metrik ini di Google Cloud Console dengan membuat metrik penghitung berbasis log dengan filter metrik berikut:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Beri label metrik menggunakan bidang jsonPayload.verifications.appCheck .

5. Aktifkan penegakan

Untuk mengaktifkan penegakan, ikuti petunjuk untuk setiap produk di bawah. Setelah Anda mengaktifkan penegakan untuk suatu produk, semua permintaan yang belum diverifikasi ke produk tersebut akan ditolak.

Database Realtime, Cloud Firestore, dan Cloud Storage

Untuk mengaktifkan penerapan Realtime Database, Cloud Firestore (iOS dan Android), dan Cloud Storage:

  1. Buka bagian App Check di Firebase console.

  2. Perluas tampilan metrik produk yang penerapannya ingin Anda aktifkan.

  3. Klik Terapkan dan konfirmasikan pilihan Anda.

Perhatikan bahwa diperlukan waktu hingga 15 menit setelah Anda mengaktifkan penerapan agar penerapannya dapat diterapkan.

Fungsi Cloud

Lihat Mengaktifkan penerapan Pemeriksaan Aplikasi untuk Cloud Functions .

Langkah selanjutnya

Jika, setelah Anda mendaftarkan aplikasi untuk App Check, Anda ingin menjalankan aplikasi di lingkungan yang biasanya tidak diklasifikasikan sebagai valid oleh App Check, seperti emulator selama pengembangan, atau dari lingkungan continuous integration (CI), Anda dapat buat build debug aplikasi Anda yang menggunakan penyedia debug App Check alih-alih penyedia pengesahan nyata.

Lihat Menggunakan Pemeriksaan Aplikasi dengan penyedia debug di Android .