Начните использовать проверку приложений с помощью Play Integrity на Android

На этой странице показано, как включить App Check в приложении Android с помощью встроенного поставщика целостности Play. Включив App Check , вы гарантируете, что только ваше приложение сможет получить доступ к ресурсам Firebase вашего проекта. См. обзор этой функции.

В настоящее время встроенный поставщик целостности Play поддерживает только приложения Android, распространяемые через Google Play. Чтобы использовать функции Play Integrity вне игры или использовать App Check со своим собственным поставщиком, см. раздел «Реализация пользовательского поставщика App Check .

1. Настройте свой проект Firebase

  1. Добавьте Firebase в свой проект Android, если вы еще этого не сделали.

  2. Включите Play Integrity API:

    1. В консоли Google Play выберите свое приложение или добавьте его, если вы еще этого не сделали.

    2. В разделе «Выпуск» нажмите «Целостность приложения» .

    3. Перейдите в раздел Play Integrity API на странице, нажмите «Связать проект Cloud» и выберите проект Firebase из списка проектов Google Cloud. Выбранный здесь проект должен быть тем же проектом Firebase, в котором вы регистрируете свое приложение (см. следующий шаг).

  3. Зарегистрируйте свои приложения, чтобы использовать App Check у поставщика Play Integrity в разделе App Check консоли Firebase . Вам потребуется предоставить отпечаток SHA-256 сертификата подписи вашего приложения.

    Обычно вам необходимо зарегистрировать все приложения вашего проекта, поскольку после включения принудительного применения для продукта Firebase только зарегистрированные приложения смогут получить доступ к серверным ресурсам продукта.

  4. Необязательно : в настройках регистрации приложения установите собственное время жизни (TTL) для токенов App Check выданных поставщиком. Вы можете установить любое значение TTL от 30 минут до 7 дней. При изменении этого значения помните о следующих компромиссах:

    • Безопасность. Более короткие TTL обеспечивают более высокий уровень безопасности, поскольку уменьшают время, в течение которого злоумышленник может использовать утекший или перехваченный токен.
    • Производительность. Более короткие TTL означают, что ваше приложение будет чаще выполнять аттестацию. Поскольку процесс аттестации приложения увеличивает задержку к сетевым запросам каждый раз, когда он выполняется, короткий срок жизни может повлиять на производительность вашего приложения.
    • Квота и стоимость. Более короткие сроки жизни и частая повторная аттестация быстрее истощают вашу квоту, а платные услуги могут стоить дороже. См. Квоты и ограничения .

    Значение TTL по умолчанию, равное 1 часу , подходит для большинства приложений. Обратите внимание, что библиотека App Check обновляет токены примерно за половину продолжительности TTL.

2. Добавьте библиотеку App Check в свое приложение.

В файле Gradle вашего модуля (на уровне приложения) (обычно <project>/<app-module>/build.gradle.kts или <project>/<app-module>/build.gradle ) добавьте зависимость для App Check . библиотека для Android. Мы рекомендуем использовать Firebase Android BoM для управления версиями библиотеки.

dependencies {
    // Import the BoM for the Firebase platform
    implementation(platform("com.google.firebase:firebase-bom:33.6.0"))

    // Add the dependencies for the App Check libraries
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity")
}

Используя Firebase Android BoM , ваше приложение всегда будет использовать совместимые версии библиотек Firebase Android.

(Альтернатива) Добавить зависимости библиотеки Firebase без использования BoM

Если вы решите не использовать Firebase BoM , вы должны указать каждую версию библиотеки Firebase в ее строке зависимости.

Обратите внимание: если вы используете в своем приложении несколько библиотек Firebase, мы настоятельно рекомендуем использовать BoM для управления версиями библиотек, что гарантирует совместимость всех версий.

dependencies {
    // Add the dependencies for the App Check libraries
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity:18.0.0")
}
Ищете библиотечный модуль, специфичный для Kotlin? Начиная с октября 2023 года ( Firebase BoM 32.5.0) от основного модуля библиотеки могут зависеть как разработчики Kotlin, так и Java (подробнее см. FAQ по этой инициативе ).

3. Инициализировать App Check

Добавьте в свое приложение следующий код инициализации, чтобы оно запускалось до использования любых других SDK Firebase:

Kotlin+KTX

Firebase.initialize(context = this)
Firebase.appCheck.installAppCheckProviderFactory(
    PlayIntegrityAppCheckProviderFactory.getInstance(),
)

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());

Следующие шаги

После установки библиотеки App Check в ваше приложение начните распространять обновленное приложение среди своих пользователей.

Обновленное клиентское приложение начнет отправлять токены App Check вместе с каждым запросом, который оно отправляет в Firebase, но продукты Firebase не будут требовать, чтобы токены были действительными, пока вы не включите принудительное применение в разделе App Check консоли Firebase.

Отслеживайте показатели и обеспечивайте принудительное применение

Однако прежде чем включать принудительное применение, вы должны убедиться, что это не повредит работе существующих законных пользователей. С другой стороны, если вы заметили подозрительное использование ресурсов вашего приложения, возможно, вам захочется включить принудительное применение раньше.

Чтобы принять это решение, вы можете просмотреть показатели App Check для используемых вами сервисов:

Включить принудительное выполнение App Check

Когда вы поймете, как App Check повлияет на ваших пользователей, и будете готовы продолжить, вы сможете включить принудительное выполнение App Check :

Используйте App Check в средах отладки

Если после регистрации приложения для App Check вы хотите запустить его в среде, которую App Check обычно не классифицирует как допустимую, например в эмуляторе во время разработки или в среде непрерывной интеграции (CI), вы можете создайте отладочную сборку вашего приложения, которая использует поставщика отладки App Check вместо реального поставщика аттестации.

См . раздел «Использование App Check с поставщиком отладки на Android» .