Inizia a utilizzare App Check con SafetyNet su Android

Questa pagina mostra come abilitare App Check in un'app Android, utilizzando il provider SafetyNet integrato. Quando abiliti App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Visualizza una panoramica di questa funzionalità.

Se desideri utilizzare App Check con il tuo provider personalizzato, consulta Implementare un provider App Check personalizzato .

1. Configura il tuo progetto Firebase

  1. Aggiungi Firebase al tuo progetto Android se non l'hai già fatto.

  2. Registra le tue app per utilizzare App Check con il provider SafetyNet nella sezione App Check della console Firebase. Dovrai fornire l'impronta digitale SHA-256 del certificato di firma della tua app.

    In genere devi registrare tutte le app del tuo progetto perché, una volta abilitata l'applicazione per un prodotto Firebase, solo le app registrate potranno accedere alle risorse backend del prodotto.

  3. Facoltativo : nelle impostazioni di registrazione dell'app, imposta un time-to-live (TTL) personalizzato per i token App Check emessi dal provider. È possibile impostare il TTL su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando si modifica questo valore, tenere presente i seguenti compromessi:

    • Sicurezza: TTL più brevi forniscono una maggiore sicurezza, perché riducono la finestra in cui un token trapelato o intercettato può essere abusato da un utente malintenzionato.
    • Prestazioni: TTL più brevi indicano che l'app eseguirà l'attestazione con maggiore frequenza. Poiché il processo di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguito, un TTL breve può influire sulle prestazioni dell'app.
    • Quota e costo: TTL più brevi e frequenti riattestazioni riducono la quota più rapidamente e, per i servizi a pagamento, potenzialmente costano di più. Vedi Quote e limiti .

    Il TTL predefinito di 1 ora è ragionevole per la maggior parte delle app. Tieni presente che la libreria App Check aggiorna i token a circa la metà della durata TTL.

2. Aggiungi la libreria App Check alla tua app

Nel file Gradle del modulo (a livello di app) (solitamente app/build.gradle ), dichiara la dipendenza per la libreria App Check per Android:

dependencies {
    implementation 'com.google.firebase:firebase-appcheck-safetynet:16.1.2'
}

3. Inizializza Controllo app

Aggiungi il seguente codice di inizializzazione alla tua app in modo che venga eseguita prima di utilizzare qualsiasi altro SDK Firebase:

Kotlin+KTX

Firebase.initialize(context = this)
Firebase.appCheck.installAppCheckProviderFactory(
    SafetyNetAppCheckProviderFactory.getInstance()
)

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        SafetyNetAppCheckProviderFactory.getInstance());

Prossimi passi

Una volta installata la libreria App Check nella tua app, inizia a distribuire l'app aggiornata ai tuoi utenti.

L'app client aggiornata inizierà a inviare token App Check insieme a ogni richiesta effettuata a Firebase, ma i prodotti Firebase non richiederanno che i token siano validi finché non abiliti l'applicazione nella sezione App Check della console Firebase.

Monitorare le metriche e abilitare l'applicazione

Prima di abilitare l'applicazione, tuttavia, dovresti assicurarti che ciò non interrompa gli utenti legittimi esistenti. D'altro canto, se noti un utilizzo sospetto delle risorse dell'app, potresti voler abilitare l'applicazione prima.

Per aiutarti a prendere questa decisione, puoi esaminare le metriche di App Check per i servizi che utilizzi:

Abilita l'applicazione di App Check

Una volta compreso l'effetto di App Check sui tuoi utenti e quando sei pronto per procedere, puoi abilitare l'applicazione di App Check:

Utilizza App Check negli ambienti di debug

Se, dopo aver registrato l'app per App Check, desideri eseguire l'app in un ambiente che App Check normalmente non classificherebbe come valido, ad esempio un emulatore durante lo sviluppo o da un ambiente di integrazione continua (CI), puoi crea una build di debug della tua app che utilizza il provider di debug App Check anziché un vero provider di attestazione.

Consulta Utilizzare App Check con il provider di debug su Android .