اجرای بررسی برنامه را فعال کنید

وقتی فهمیدید که App Check چگونه بر کاربران شما تأثیر می‌گذارد و آماده ادامه کار بودید، می‌توانید App Check enforcement را فعال کنید.

مراحل زیر نحوه فعال‌سازی اجرای قانون برای Firebase AI Logic ، SQL Connect ، Realtime Database ، Cloud Firestore ، Cloud Storage ، Authentication ، Google Identity for iOS، Maps JavaScript API و Places API (جدید) را شرح می‌دهد. پس از فعال‌سازی اجرای قانون برای یک محصول، تمام درخواست‌های تأیید نشده به آن محصول رد خواهند شد.

  1. در کنسول Firebase ، به مسیر Security > App Check بروید.

  2. نمای معیارهای محصولی را که می‌خواهید اجرای قانون را برای آن فعال کنید، گسترش دهید.

  3. روی «اجرا» کلیک کنید و انتخاب خود را تأیید کنید.

توجه داشته باشید که پس از فعال کردن گزینه اعمال قانون، ممکن است تا ۱۵ دقیقه طول بکشد تا اعمال شود.

محافظت در برابر تکرار (بتا)

به طور پیش‌فرض، App Check از توکن‌های جلسه استفاده می‌کند که زمان ماندگاری (TTL) قابل تنظیمی بین 30 دقیقه تا 7 روز دارند. این توکن‌های جلسه توسط App Check SDK ذخیره می‌شوند، همراه با درخواست‌های برنامه شما ارسال می‌شوند و تا زمان انقضای TTL آنها قابل استفاده مجدد هستند. استفاده از توکن‌های جلسه به عنوان حفاظت پایه در نظر گرفته می‌شود.

برای افزایش محافظت فراتر از محافظت پایه ارائه شده توسط App Check ، می‌توانید به صورت اختیاری محافظت در برابر تکرار را اعمال کنید. در اینجا اتفاقاتی که هنگام اعمال محافظت در برابر تکرار رخ می‌دهد، آمده است:

  • App Check درخواست‌های ارسالی به API محافظت‌شده که از توکن‌های نشست استفاده می‌کنند را مسدود می‌کند. در عوض، App Check فقط درخواستی به API محافظت‌شده را مجاز می‌داند که از یک توکن با کاربرد محدود تازه ایجاد شده استفاده می‌کند. برای نحوه فعال‌سازی استفاده از توکن‌های با کاربرد محدود در برنامه خود، به مستندات خاص محصول مراجعه کنید.

  • پس از تأیید توکن با کاربرد محدود، توکن مصرف می‌شود تا فقط یک بار قابل استفاده باشد که از حملات بازپخش جلوگیری می‌کند.

  • کیت App Check برای هر درخواست یک توکن جدید تولید می‌کند. این فرآیند می‌تواند با افزودن مقداری تأخیر و گاهی اوقات هزینه (بسته به ارائه‌دهنده گواهی شما) بر درخواست‌های شما تأثیر بگذارد.

در اینجا نحوه اعمال محافظت در برابر بازپخش آمده است:

  1. در کدبیس برنامه خود، استفاده از توکن‌های با کاربرد محدود را فعال کنید. برای این دستورالعمل‌ها به مستندات مخصوص محصول مراجعه کنید:

  2. در کنسول Firebase ، به مسیر Security > App Check بروید.

  3. نمای معیارها را برای API محافظت‌شده گسترش دهید.

  4. مطمئن شوید که گزینه‌ی Baseline Protection فعال است (Enforced )، سپس روی Continue کلیک کنید.

  5. برای محافظت در برابر بازپخش، یکی از گزینه‌های Unenforced (فقط نظارت) یا Enforced را انتخاب کنید.

    برای تصمیم‌گیری در مورد زمان اعمال محافظت در برابر بازپخش، موارد زیر را در نظر بگیرید:

    • اگر تعداد قابل توجهی از کاربران شما احتمالاً از نسخه‌های قبلی برنامه شما بدون فعال کردن توکن‌های با استفاده محدود استفاده می‌کنند، نظارت بر درخواست‌های شما توصیه می‌شود. اگر فوراً محافظت از بازپخش را اعمال کنید، درخواست‌های این کاربران مسدود خواهد شد.

    • در تب Security > App Check > APIs کنسول Firebase ، می‌توانید معیار Unverified: Reused token را رصد کنید، که تعداد درخواست‌هایی است که دارای توکنی هستند که قبلاً در درخواست قبلی استفاده شده است. اگر بخش قابل توجهی از درخواست‌های اخیر در این دسته قرار دارند، باید از ایجاد اختلال در کار کاربران خودداری کنید و قبل از فعال کردن قابلیت اجرا، منتظر بمانید تا کاربران بیشتری برنامه شما را به‌روزرسانی کنند.