Comience a usar App Check con Play Integrity en Android

Esta página le muestra cómo habilitar App Check en una aplicación de Android, utilizando el proveedor Play Integrity integrado. Cuando habilitas App Check, ayudas a garantizar que solo tu aplicación pueda acceder a los recursos de Firebase de tu proyecto. Vea una descripción general de esta característica.

Actualmente, el proveedor Play Integrity integrado solo admite aplicaciones de Android distribuidas por Google Play. Para usar las funciones fuera de Play de Play Integrity o usar App Check con su propio proveedor personalizado, consulte Implementar un proveedor de App Check personalizado .

1. Configura tu proyecto de Firebase

  1. Agrega Firebase a tu proyecto de Android si aún no lo has hecho.

  2. Habilite la API de Play Integrity:

    1. En Google Play Console , selecciona tu aplicación o agrégala si aún no lo has hecho.

    2. En la sección Lanzamiento , haga clic en Integridad de la aplicación .

    3. Vaya a la sección Play Integrity API de la página, haga clic en Vincular proyecto de Cloud y luego seleccione su proyecto de Firebase de la lista de proyectos de Google Cloud. El proyecto que seleccione aquí debe ser el mismo proyecto de Firebase en el que registró su aplicación (consulte el siguiente paso).

  3. Registre sus aplicaciones para usar App Check con el proveedor de Play Integrity en la sección App Check de Firebase console. Deberá proporcionar la huella digital SHA-256 del certificado de firma de su aplicación.

    Por lo general, debes registrar todas las aplicaciones de tu proyecto, porque una vez que habilitas la aplicación de medidas para un producto de Firebase, solo las aplicaciones registradas podrán acceder a los recursos backend del producto.

  4. Opcional : en la configuración de registro de la aplicación, establezca un tiempo de vida (TTL) personalizado para los tokens de verificación de aplicaciones emitidos por el proveedor. Puede configurar el TTL en cualquier valor entre 30 minutos y 7 días. Al cambiar este valor, tenga en cuenta las siguientes compensaciones:

    • Seguridad: Los TTL más cortos proporcionan una mayor seguridad, porque reducen la ventana en la que un atacante puede abusar de un token filtrado o interceptado.
    • Rendimiento: los TTL más cortos significan que su aplicación realizará la certificación con más frecuencia. Debido a que el proceso de certificación de aplicaciones agrega latencia a las solicitudes de red cada vez que se realiza, un TTL corto puede afectar el rendimiento de su aplicación.
    • Cuota y costo: los TTL más cortos y las repetidas certificaciones frecuentes agotan su cuota más rápido y, en el caso de los servicios pagos, potencialmente cuestan más. Consulte Cuotas y límites .

    El TTL predeterminado de 1 hora es razonable para la mayoría de las aplicaciones. Tenga en cuenta que la biblioteca App Check actualiza los tokens aproximadamente a la mitad de la duración del TTL.

2. Agregue la biblioteca App Check a su aplicación

En el archivo Gradle de su módulo (nivel de aplicación) (generalmente <project>/<app-module>/build.gradle.kts o <project>/<app-module>/build.gradle ), agregue la dependencia para App Check biblioteca para Android. Recomendamos utilizar Firebase Android BoM para controlar el control de versiones de la biblioteca.

dependencies {
    // Import the BoM for the Firebase platform
    implementation(platform("com.google.firebase:firebase-bom:32.8.0"))

    // Add the dependencies for the App Check libraries
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity")
}

Al usar Firebase Android BoM , su aplicación siempre usará versiones compatibles de las bibliotecas de Firebase Android.

(Alternativa) Agregue dependencias de la biblioteca de Firebase sin usar la BoM

Si elige no utilizar la BoM de Firebase, debe especificar cada versión de la biblioteca de Firebase en su línea de dependencia.

Tenga en cuenta que si usa varias bibliotecas de Firebase en su aplicación, le recomendamos encarecidamente usar la BoM para administrar las versiones de la biblioteca, lo que garantiza que todas las versiones sean compatibles.

dependencies {
    // Add the dependencies for the App Check libraries
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity:17.1.2")
}
¿Busca un módulo de biblioteca específico de Kotlin? A partir de octubre de 2023 (Firebase BoM 32.5.0) , tanto los desarrolladores de Kotlin como los de Java podrán depender del módulo de biblioteca principal (para más detalles, consulte las preguntas frecuentes sobre esta iniciativa ).

3. Inicializar la verificación de la aplicación

Agrega el siguiente código de inicialización a tu aplicación para que se ejecute antes de usar cualquier otro SDK de Firebase:

Kotlin+KTX

Firebase.initialize(context = this)
Firebase.appCheck.installAppCheckProviderFactory(
    PlayIntegrityAppCheckProviderFactory.getInstance(),
)

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());

Próximos pasos

Una vez que la biblioteca App Check esté instalada en su aplicación, comience a distribuir la aplicación actualizada a sus usuarios.

La aplicación cliente actualizada comenzará a enviar tokens de App Check junto con cada solicitud que realice a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección App Check de Firebase console.

Supervise las métricas y permita la aplicación de la ley

Sin embargo, antes de habilitar la aplicación de medidas, debe asegurarse de que hacerlo no interrumpa a sus usuarios legítimos existentes. Por otro lado, si observa un uso sospechoso de los recursos de su aplicación, es posible que desee habilitar la aplicación de medidas antes.

Para ayudar a tomar esta decisión, puede consultar las métricas de App Check para los servicios que utiliza:

Habilitar la aplicación de verificación de aplicaciones

Cuando comprenda cómo afectará App Check a sus usuarios y esté listo para continuar, podrá habilitar la aplicación de App Check:

Utilice App Check en entornos de depuración

Si, después de haber registrado su aplicación para App Check, desea ejecutarla en un entorno que App Check normalmente no clasificaría como válido, como un emulador durante el desarrollo, o desde un entorno de integración continua (CI), puede cree una compilación de depuración de su aplicación que utilice el proveedor de depuración App Check en lugar de un proveedor de certificación real.

Consulte Usar App Check con el proveedor de depuración en Android .