تمكين التحقق من التطبيق باستخدام SafetyNet على Android

توضح لك هذه الصفحة كيفية تمكين App Check في تطبيق Android ، باستخدام مزود SafetyNet المدمج. عند تمكين التحقق من التطبيق ، فإنك تساعد في التأكد من أن تطبيقك هو الوحيد الذي يمكنه الوصول إلى موارد Firebase الخاصة بمشروعك. رؤية نظرة عامة من هذه الميزة.

إذا كنت ترغب في استخدام التطبيقات تحقق مع مزود المخصصة الخاصة بك، انظر تطبيق مخصص التطبيقات تحقق مزود .

1. قم بإعداد مشروع Firebase

  1. إضافة Firebase إلى مشروع Android إذا لم تكن قد فعلت ذلك.

  2. تسجيل تطبيقاتك لاستخدام التطبيقات تحقق مع مقدم السلامة SafetyNet في إعدادات المشروع> التطبيقات تحقق جزء من وحدة Firebase. سوف تحتاج إلى تقديم بصمة SHA-256 شهادة توقيع التطبيق الخاص بك.

    تحتاج عادةً إلى تسجيل جميع تطبيقات مشروعك ، لأنه بمجرد تمكينك لتطبيق تطبيق Firebase ، ستتمكن التطبيقات المسجلة فقط من الوصول إلى موارد الواجهة الخلفية للمنتج.

  3. اختياري: في إعدادات تسجيل التطبيق، وتحديد العرف الوقت للوصول الى الحي (TTL) لالتطبيقات تحقق الرموز المميزة يصدرها مقدم. يمكنك ضبط TTL على أي قيمة تتراوح بين 30 دقيقة و 7 أيام. عند تغيير هذه القيمة ، انتبه للمفاضلات التالية:

    • الأمان: توفر TTLs الأقصر أمانًا أقوى ، لأنها تقلل الفترة التي يمكن فيها للمهاجم إساءة استخدام رمز تم تسريبه أو اعتراضه.
    • الأداء: تعني مدة البقاء (TTL) الأقصر أن تطبيقك سيجري المصادقة بشكل متكرر أكثر. نظرًا لأن عملية التصديق على التطبيق تضيف وقت استجابة لطلبات الشبكة في كل مرة يتم إجراؤها ، يمكن أن تؤثر مدة البقاء القصيرة على أداء تطبيقك.
    • الحصة النسبية: مدة البقاء (TTL) الأقصر وإعادة المصادقة المتكررة تستنفد حصتك بشكل أسرع. انظر الحصص وحدود .

    وTTL الافتراضية 1 ساعة معقول بالنسبة لمعظم التطبيقات.

2. قم بإضافة مكتبة App Check إلى تطبيقك

في الوحدة النمطية الخاصة بك (على مستوى التطبيق) ملف Gradle (عادة app/build.gradle )، وإعلان التبعية التطبيق تحقق مكتبة الروبوت:

جافا

dependencies {
    implementation 'com.google.firebase:firebase-appcheck-safetynet:16.0.0-beta02'
}

Kotlin + KTX

dependencies {
    implementation 'com.google.firebase:firebase-appcheck-safetynet:16.0.0-beta02'
}

3. تهيئة فحص التطبيق

أضف رمز التهيئة التالي إلى تطبيقك حتى يتم تشغيله قبل استخدام أي حزم Firebase SDK أخرى:

جافا

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        SafetyNetAppCheckProviderFactory.getInstance());

Kotlin + KTX

FirebaseApp.initializeApp(/*context=*/this)
val firebaseAppCheck = FirebaseAppCheck.getInstance()
firebaseAppCheck.installAppCheckProviderFactory(
    SafetyNetAppCheckProviderFactory.getInstance()
)

بمجرد تثبيت مكتبة App Check في تطبيقك ، ابدأ في توزيع التطبيق المحدث على المستخدمين.

سيبدأ تطبيق العميل المحدث في إرسال رموز التحقق من التطبيق جنبًا إلى جنب مع كل طلب يقدمه إلى Firebase ، لكن منتجات Firebase لن تتطلب أن تكون الرموز المميزة صالحة حتى تقوم بتمكين التنفيذ في قسم التحقق من التطبيق في وحدة تحكم Firebase. انظر القسمين التاليين للحصول على التفاصيل.

4. مقاييس مراقبة الطلب

الآن بعد أن أصبح تطبيقك المحدث في أيدي المستخدمين ، يمكنك تمكين فرض التحقق من التطبيق لمنتجات Firebase التي تستخدمها. قبل القيام بذلك ، يجب أن تتأكد من أن القيام بذلك لن يؤدي إلى تعطيل المستخدمين الشرعيين الحاليين لديك.

قاعدة بيانات Realtime والتخزين السحابي

أداة مهمة يمكنك استخدامها لاتخاذ هذا القرار لقاعدة بيانات Realtime و Cloud Storage هي شاشة مقاييس طلب التحقق من التطبيق.

لعرض تحقق طلب التطبيقات مقاييس المنتج، افتح إعدادات المشروع> التطبيقات تحقق جزء من وحدة Firebase. على سبيل المثال:

لقطة شاشة لصفحة مقاييس التحقق من التطبيق

مقاييس الطلب لكل منتج مقسمة إلى أربع فئات:

  • طلبات التحقق هي تلك التي لديها التطبيقات صالحة تحقق رمزية. بعد تمكين فرض التحقق من التطبيق ، ستنجح الطلبات في هذه الفئة فقط.

  • طلبات العميل القديمة هي تلك التي تفتقد التطبيقات تحقق رمزية. قد تكون هذه الطلبات من إصدار أقدم من Firebase SDK قبل تضمين التحقق من التطبيق في التطبيق.

  • طلبات أصل غير معروف هي تلك التي تفتقد التطبيقات تحقق المنوال، ولا تبدو وكأنها تأتي من SDK Firebase. قد تكون هذه من طلبات تم إجراؤها باستخدام مفاتيح واجهة برمجة تطبيقات مسروقة أو طلبات مزورة تم إجراؤها بدون Firebase SDK.

  • طلبات غير صالحة هي تلك التي تحتوي على التطبيقات غير صالحة تحقق رمزية، والتي قد يكون من عميل زائف محاولة انتحال التطبيق الخاص بك، أو من البيئات يحتذى.

يجب أن يبلغ توزيع هذه الفئات لتطبيقك عندما تقرر تمكين الإنفاذ. فيما يلي بعض الإرشادات:

  • إذا كانت جميع الطلبات الأخيرة تقريبًا من عملاء تم التحقق منهم ، ففكر في تمكين التنفيذ لبدء حماية موارد الواجهة الخلفية.

  • إذا كان جزء كبير من الطلبات الأخيرة من عملاء محتمل عفا عليها الزمن ، لتجنب إزعاج المستخدمين ، ففكر في انتظار المزيد من المستخدمين لتحديث تطبيقك قبل تمكين التنفيذ. سيؤدي فرض فحص التطبيق على تطبيق تم إصداره إلى كسر إصدارات التطبيق السابقة التي لم يتم دمجها مع App Check SDK.

  • إذا لم يتم تشغيل تطبيقك بعد ، فيجب عليك تمكين فرض التحقق من التطبيق على الفور ، نظرًا لعدم وجود أي عملاء قديمين قيد الاستخدام.

وظائف السحابة

بالنسبة إلى وظائف السحابة ، يمكنك الحصول على مقاييس التحقق من التطبيق من خلال فحص سجلات وظائفك. يصدر كل استدعاء لوظيفة قابلة للاستدعاء إدخال سجل منظم مثل المثال التالي:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

يمكنك تحليل هذه المقاييس في وحدة التحكم سحابة جوجل من خلق السجلات التي تستند إلى قياس عداد مع مرشح المتري التالية:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

تسمية متري باستخدام حقل jsonPayload.verifications.appCheck .

5. تمكين الإنفاذ

لتمكين التنفيذ ، اتبع التعليمات الخاصة بكل منتج أدناه. بمجرد تمكين فرض لمنتج ما ، سيتم رفض جميع الطلبات التي لم يتم التحقق منها لهذا المنتج.

قاعدة بيانات Realtime والتخزين السحابي

لتمكين فرض تطبيق Realtime Database و Cloud Storage:

  1. فتح تحقق إعدادات المشروع> التطبيقات جزء من وحدة Firebase.

  2. قم بتوسيع عرض المقاييس للمنتج الذي تريد تمكين فرضه.

  3. انقر على فرض وتأكيد اختيارك.

لاحظ أن الأمر قد يستغرق ما يصل إلى 10 دقائق بعد تمكين التنفيذ حتى يتم تفعيله.

وظائف السحابة

انظر تمكين التطبيقات تحقق إنفاذ عن وظائف الغيمة .

الخطوات التالية

إذا كنت ترغب ، بعد تسجيل تطبيقك في App Check ، في تشغيل التطبيق في بيئة لا يصنفها App Check على أنها صالحة عادةً ، مثل المحاكي أثناء التطوير أو من بيئة تكامل مستمرة (CI) ، فيمكنك إنشاء بنية تصحيح لتطبيقك يستخدم موفر تصحيح أخطاء App Check بدلاً من موفر تصديق حقيقي.

انظر استخدام التطبيقات تحقق مع مزود التصحيح على الروبوت .