وقتی فهمیدید که App Check چگونه بر کاربران شما تأثیر میگذارد و آماده ادامه کار بودید، میتوانید App Check enforcement را فعال کنید.
مراحل زیر نحوه فعالسازی اجرای قانون برای Firebase AI Logic ، SQL Connect ، Realtime Database ، Cloud Firestore ، Cloud Storage ، Authentication ، Google Identity for iOS، Maps JavaScript API و Places API (جدید) را شرح میدهد. پس از فعالسازی اجرای قانون برای یک محصول، تمام درخواستهای تأیید نشده به آن محصول رد خواهند شد.
در کنسول Firebase ، به مسیر Security > App Check بروید.
نمای معیارهای محصولی را که میخواهید اجرای قانون را برای آن فعال کنید، گسترش دهید.
روی «اجرا» کلیک کنید و انتخاب خود را تأیید کنید.
توجه داشته باشید که پس از فعال کردن گزینه اعمال قانون، ممکن است تا ۱۵ دقیقه طول بکشد تا اعمال شود.
محافظت در برابر تکرار (بتا)
به طور پیشفرض، App Check از توکنهای جلسه استفاده میکند که زمان ماندگاری (TTL) قابل تنظیمی بین
برای افزایش محافظت فراتر از محافظت پایه ارائه شده توسط App Check ، میتوانید به صورت اختیاری محافظت در برابر تکرار را اعمال کنید. در اینجا اتفاقاتی که هنگام اعمال محافظت در برابر تکرار رخ میدهد، آمده است:
App Check درخواستهای ارسالی به API محافظتشده که از توکنهای نشست استفاده میکنند را مسدود میکند. در عوض، App Check فقط درخواستی به API محافظتشده را مجاز میداند که از یک توکن با کاربرد محدود تازه ایجاد شده استفاده میکند. برای نحوه فعالسازی استفاده از توکنهای با کاربرد محدود در برنامه خود، به مستندات خاص محصول مراجعه کنید.
پس از تأیید توکن با کاربرد محدود، توکن مصرف میشود تا فقط یک بار قابل استفاده باشد که از حملات بازپخش جلوگیری میکند.
کیت App Check برای هر درخواست یک توکن جدید تولید میکند. این فرآیند میتواند با افزودن مقداری تأخیر و گاهی اوقات هزینه (بسته به ارائهدهنده گواهی شما) بر درخواستهای شما تأثیر بگذارد.
در اینجا نحوه اعمال محافظت در برابر بازپخش آمده است:
در کدبیس برنامه خود، استفاده از توکنهای با کاربرد محدود را فعال کنید. برای این دستورالعملها به مستندات مخصوص محصول مراجعه کنید:
در کنسول Firebase ، به مسیر Security > App Check بروید.
نمای معیارها را برای API محافظتشده گسترش دهید.
مطمئن شوید که گزینهی Baseline Protection فعال است (Enforced )، سپس روی Continue کلیک کنید.
برای محافظت در برابر بازپخش، یکی از گزینههای Unenforced (فقط نظارت) یا Enforced را انتخاب کنید.
برای تصمیمگیری در مورد زمان اعمال محافظت در برابر بازپخش، موارد زیر را در نظر بگیرید:
اگر تعداد قابل توجهی از کاربران شما احتمالاً از نسخههای قبلی برنامه شما بدون فعال کردن توکنهای با استفاده محدود استفاده میکنند، نظارت بر درخواستهای شما توصیه میشود. اگر فوراً محافظت از بازپخش را اعمال کنید، درخواستهای این کاربران مسدود خواهد شد.
در تب Security > App Check > APIs کنسول Firebase ، میتوانید معیار Unverified: Reused token را رصد کنید، که تعداد درخواستهایی است که دارای توکنی هستند که قبلاً در درخواست قبلی استفاده شده است. اگر بخش قابل توجهی از درخواستهای اخیر در این دسته قرار دارند، باید از ایجاد اختلال در کار کاربران خودداری کنید و قبل از فعال کردن قابلیت اجرا، منتظر بمانید تا کاربران بیشتری برنامه شما را بهروزرسانی کنند.