Iniziare a usare App Check con Play Integrity su Android

Questa pagina mostra come attivare App Check in un'app per Android utilizzando il provider Play Integrity integrato. Se attivi App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Visualizza una panoramica di questa funzionalità.

Attualmente, il provider integrato Play Integrity supporta solo le app per Android distribuite da Google Play. Per usare le funzionalità off-Play di Play Integrity o per usare App Check con il tuo provider personalizzato, consulta Implementare un provider App Check personalizzato.

1. Configura il progetto Firebase

  1. Aggiungi Firebase al tuo progetto Android, se non lo hai ancora fatto.

  2. Attiva l'API Play Integrity:

    1. In Google Play Console, seleziona la tua app o aggiungila se non l'hai ancora fatto.

    2. Nella sezione Rilascio, fai clic su Integrità dell'app.

    3. Vai alla sezione API Play Integrity della pagina, fai clic su Collega progetto Cloud, quindi seleziona il tuo progetto Firebase dall'elenco dei progetti Google Cloud. Il progetto selezionato qui deve essere lo stesso progetto Firebase in cui registri l'app (vedi il passaggio successivo).

  3. Registra le tue app per l'utilizzo di App Check con il provider Play Integrity nella sezione App Check della console Firebase. Dovrai fornire l'impronta SHA-256 del certificato di firma della tua app.

    In genere è necessario registrare tutte le app del progetto, perché una volta abilitata l'applicazione per un prodotto Firebase, solo le app registrate potranno accedere alle risorse di backend del prodotto.

  4. Facoltativo: nelle impostazioni di registrazione dell'app, imposta una durata (TTL) personalizzata per App Check token emessi dal provider. Puoi impostare il TTL su un valore compreso tra 30 minuti e 7 giorni. Quando modifichi questo valore, tieni conto dei seguenti compromessi:

    • Sicurezza: i TTL più brevi forniscono una sicurezza più efficace, perché riducono la finestra entro cui un token divulgato o intercettato può essere utilizzato in modo illecito da un utente malintenzionato.
    • Rendimento: TTL più brevi indicano che l'app eseguirà l'attestazione con maggiore frequenza. Poiché il processo di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguito, un TTL breve può influire sulle prestazioni dell'app.
    • Quota e costo: i TTL più brevi e le attestazioni ripetute frequentemente esauriscono la quota più rapidamente e, per i servizi a pagamento, possono costare di più. Vedi Quote e limiti.

    Il TTL predefinito di 1 ora è ragionevole per la maggior parte delle app. Tieni presente che la libreria App Check aggiorna i token approssimativamente metà della durata TTL.

2. Aggiungere la raccolta App Check all'app

Nel file Gradle del modulo (a livello di app) (di solito <project>/<app-module>/build.gradle.kts o <project>/<app-module>/build.gradle), aggiungi la dipendenza per la libreria App Check per Android. Ti consigliamo di utilizzare Firebase Android BoM per controllare la versione della libreria.

dependencies {
    // Import the BoM for the Firebase platform
    implementation(platform("com.google.firebase:firebase-bom:33.5.1"))

    // Add the dependencies for the App Check libraries
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity")
}

Se utilizzi Firebase Android BoM, la tua app utilizzerà sempre versioni compatibili delle librerie Firebase Android.

(Alternativa)  Aggiungi le dipendenze della libreria Firebase senza utilizzare il file BoM

Se scegli di non utilizzare Firebase BoM, devi specificare ogni versione della libreria Firebase nella riga di dipendenza.

Tieni presente che se nella tua app utilizzi più librerie Firebase, ti consigliamo vivamente di utilizzare BoM per gestire le versioni della libreria, in modo che tutte le versioni siano compatibili.

dependencies {
    // Add the dependencies for the App Check libraries
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity:18.0.0")
}
Cerchi un modulo della libreria specifico per Kotlin? A partire da ottobre 2023 (Firebase BoM 32.5.0), gli sviluppatori Kotlin e Java possono dipendere dal modulo della libreria principale (per maggiori dettagli, consulta le Domande frequenti su questa iniziativa).

3. Inizializza App Check

Aggiungi il seguente codice di inizializzazione alla tua app in modo che venga eseguito prima di utilizzare qualsiasi altro SDK Firebase:

Kotlin+KTX

Firebase.initialize(context = this)
Firebase.appCheck.installAppCheckProviderFactory(
    PlayIntegrityAppCheckProviderFactory.getInstance(),
)

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());

Passaggi successivi

Una volta installata la libreria App Check nella tua app, inizia a distribuire l'app aggiornata agli utenti.

L'app client aggiornata inizierà a inviare token App Check con ogni richiesta inviata a Firebase, ma i prodotti Firebase non richiederanno che i token siano validi finché non attivi l'applicazione forzata nella sezione App Check della Console Firebase.

Monitora le metriche e abilita l'applicazione forzata

Tuttavia, prima di attivare l'applicazione, devi assicurarti che questa operazione non causi interruzioni per gli utenti legittimi esistenti. D'altra parte, se noti un uso sospetto delle risorse della tua app, ti consigliamo di attivare l'applicazione delle norme in precedenza.

Per aiutarti a prendere questa decisione, puoi esaminare le metriche App Check per i servizi che utilizzi:

Attivare l'applicazione di App Check

Quando avrai compreso in che modo App Check influirà sui tuoi utenti e sarai pronto a procedere, puoi attivare l'applicazione forzata di App Check:

Utilizza App Check negli ambienti di debug

Se, dopo aver registrato la tua app per App Check, vuoi eseguirla in un ambiente che App Check normalmente non classificherebbe come valido, come un emulatore durante lo sviluppo o da un ambiente di integrazione continua (CI), puoi creare una build di debug della tua app che utilizzi il fornitore di debug App Check anziché un fornitore di attestazione reale.

Vedi Utilizzare App Check con il provider di debug su Android.