開始在 Android 中搭配 Play Integrity 使用 App Check

本頁面說明如何使用內建的 Play Integrity 供應商,在 Android 應用程式中啟用 App Check。啟用 App Check 之後,您就能確保只有您的應用程式能存取專案的 Firebase 資源。請參閱這項功能的總覽

目前內建的 Play Integrity 提供者僅支援透過 Google Play 發布的 Android 應用程式。如要使用 Play Integrity 的離線功能,或透過自訂提供者使用 App Check,請參閱「實作自訂 App Check 供應器」。

1. 設定 Firebase 專案

  1. 如果尚未將 Firebase 新增至 Android 專案,請先完成這項操作。

  2. 啟用 Play Integrity API:

    1. Google Play 管理中心選取您的應用程式。如果尚未新增,請先新增。

    2. 在「版本」部分,按一下「應用程式完整性」

    3. 前往頁面的「Play Integrity API」部分,按一下「連結 Cloud 專案」,然後從 Google Cloud 專案清單中選取您的 Firebase 專案。您在這裡選取的專案,必須與您註冊應用程式的專案相同 (請參閱下一個步驟)。

  3. 在 Firebase 控制台的 App Check 區段中,註冊應用程式,即可透過 Play Integrity 供應商使用 App Check。您需要提供應用程式簽署憑證的 SHA-256 指紋

    您通常需要註冊專案的所有應用程式,因為啟用 Firebase 產品的強制執行功能後,只有已註冊的應用程式才能存取產品後端資源。

  4. 選用:在應用程式註冊設定中,針對供應商核發的 App Check 權杖,設定自訂存留時間 (TTL)。您可以將 TTL 設為介於 30 分鐘到 7 天之間的任何值。變更這個值時,請留意下列取捨:

    • 安全性:較短的存留時間能強化安全性,因為可以減少攻擊者濫用權杖外洩或攔截的憑證。
    • 效能:存留時間越短,代表應用程式會更頻繁執行認證。由於應用程式認證程序每次執行時都會增加網路要求的延遲時間,因此較短的存留時間可能會影響應用程式的效能。
    • 配額與費用:縮短存留時間並頻繁重新認證會耗盡您的配額。如果是付費服務,費用可能會增加。請參閱配額與限制一文。

    對於大多數應用程式,預設存留時間 (1 小時) 是合理的。請注意,App Check 程式庫會在存留時間大約的一半時間重新整理權杖。

2. 將 App Check 程式庫新增至應用程式

模組 (應用程式層級) Gradle 檔案 (通常是 <project>/<app-module>/build.gradle.kts<project>/<app-module>/build.gradle) 中,新增 Android 適用的 App Check 程式庫的依附元件。建議您使用 Firebase Android BoM 來控管程式庫版本管理。

dependencies {
    // Import the BoM for the Firebase platform
    implementation(platform("com.google.firebase:firebase-bom:33.1.2"))

    // Add the dependencies for the App Check libraries
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity")
}

如果使用 Firebase Android BoM,應用程式就會一律使用相容的 Firebase Android 程式庫版本。

(替代方法) 新增 Firebase 程式庫依附元件,「不必」使用 BoM

如果選擇不使用 Firebase BoM,請務必在依附元件行中指定各個 Firebase 程式庫版本。

請注意,如果在應用程式中使用多個 Firebase 程式庫,強烈建議您使用 BoM 管理程式庫版本,確保所有版本都相容。

dependencies {
    // Add the dependencies for the App Check libraries
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity:18.0.0")
}
在尋找 Kotlin 專用的程式庫模組嗎?2023 年 10 月 (Firebase BoM 32.5.0) 起,Kotlin 和 Java 開發人員都可以依賴主程式庫模組 (詳情請參閱這項計畫的常見問題)。

3. 初始化 App Check

在應用程式中加入下列初始化程式碼,讓它在您使用其他 Firebase SDK 前執行:

Kotlin+KTX

Firebase.initialize(context = this)
Firebase.appCheck.installAppCheckProviderFactory(
    PlayIntegrityAppCheckProviderFactory.getInstance(),
)

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());

後續步驟

在應用程式中安裝 App Check 程式庫後,即可開始向使用者發布更新的應用程式。

更新的用戶端應用程式會開始連同對 Firebase 發出的每個要求一起傳送 App Check 權杖,但在您在 Firebase 控制台的「App Check」專區啟用強制執行之前,Firebase 產品會不需要這些權杖生效。

監控指標並啟用強制執行功能

不過,在啟用強制執行設定之前,您應確保這麼做不會中斷現有的合法使用者。另一方面,如果您發現應用程式資源有濫用的情況,可以提早啟用強制執行機制。

為此,您可以查看所用服務的 App Check 指標:

啟用強制執行 App Check

當您瞭解 App Check 對使用者的影響,並準備好進行後續步驟時,就可以啟用 App Check 強制執行功能:

在偵錯環境中使用 App Check

針對 App Check 註冊 App Check 後,如果您想在 App Check 通常不會歸類為有效的環境中執行應用程式,例如在開發期間的模擬器,或是從持續整合 (CI) 環境中執行,您可以針對應用程式建立偵錯版本,並讓應用程式使用 App Check 偵錯提供者,而非實際認證提供者。

請參閱「在 Android 上透過偵錯提供者使用 App Check」。