Khi hiểu được cách App Check sẽ ảnh hưởng đến người dùng và sẵn sàng tiếp tục, bạn có thể bật chế độ thực thi App Check.
Các bước sau đây mô tả cách bật chế độ thực thi cho Firebase AI Logic, SQL Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity cho iOS, Maps JavaScript API và Places API (Mới). Sau khi bạn bật chế độ thực thi cho một sản phẩm, tất cả các yêu cầu chưa xác minh đối với sản phẩm đó sẽ bị từ chối.
Trong bảng điều khiển Firebase, hãy chuyển đến phần Bảo mật > Kiểm tra ứng dụng.
Mở rộng chế độ xem chỉ số của sản phẩm mà bạn muốn bật chế độ thực thi.
Nhấp vào Thực thi rồi xác nhận lựa chọn của bạn.
Xin lưu ý rằng có thể mất đến 15 phút sau khi bạn bật chế độ thực thi thì chế độ này mới có hiệu lực.
Bảo vệ khỏi các cuộc tấn công phát lại (beta)
Theo mặc định, App Check sử dụng mã thông báo phiên có thời gian tồn tại (TTL) có thể định cấu hình trong khoảng từ
Để tăng cường khả năng bảo vệ ngoài chế độ bảo vệ cơ bản do App Check cung cấp, bạn có thể tuỳ ý thực thi chế độ bảo vệ chống phát lại. Sau đây là những điều sẽ xảy ra khi bạn thực thi tính năng bảo vệ chống phát lại:
App Check sẽ chặn các yêu cầu đến API được bảo vệ sử dụng mã thông báo phiên. Thay vào đó, App Check sẽ chỉ cho phép một yêu cầu đến API được bảo vệ sử dụng mã thông báo sử dụng một lần mới được tạo. Hãy xem tài liệu dành riêng cho sản phẩm để biết cách bật tính năng sử dụng mã thông báo dùng một lần trong ứng dụng của bạn.
Sau khi được xác minh, mã thông báo dùng một lần sẽ được sử dụng để chỉ có thể dùng một lần, nhờ đó ngăn chặn các cuộc tấn công phát lại.
SDK App Check sẽ tạo một mã thông báo mới cho mỗi yêu cầu. Quy trình này có thể ảnh hưởng đến các yêu cầu của bạn bằng cách tăng độ trễ và đôi khi tốn kém (tuỳ thuộc vào nhà cung cấp chứng thực của bạn).
Sau đây là cách thực thi biện pháp bảo vệ chống phát lại:
Trong toàn bộ mã nguồn của ứng dụng, hãy cho phép sử dụng mã thông báo dùng một lần. Hãy xem tài liệu dành riêng cho sản phẩm để biết các hướng dẫn này:
Trong bảng điều khiển Firebase, hãy chuyển đến phần Bảo mật > Kiểm tra ứng dụng.
Mở rộng chế độ xem chỉ số cho API được bảo vệ.
Đảm bảo biện pháp bảo vệ cơ bản được Thực thi, rồi nhấp vào Tiếp tục.
Để bảo vệ chống phát lại, hãy chọn Không bắt buộc (chỉ giám sát) hoặc Bắt buộc.
Hãy cân nhắc những điều sau để quyết định thời điểm thực thi biện pháp bảo vệ chống phát lại:
Bạn nên giám sát các yêu cầu nếu có khả năng một số lượng lớn người dùng đang sử dụng các phiên bản cũ hơn của ứng dụng mà không bật mã thông báo sử dụng có giới hạn. Nếu bạn thực thi ngay biện pháp bảo vệ chống phát lại, thì các yêu cầu của những người dùng đó sẽ bị chặn.
Trong thẻ Bảo mật > Kiểm tra ứng dụng > API của bảng điều khiển Firebase, bạn có thể theo dõi chỉ số Chưa xác minh: Mã thông báo được dùng lại. Đây là số lượng yêu cầu có mã thông báo đã được dùng trong một yêu cầu trước đó. Nếu một phần đáng kể trong số các yêu cầu gần đây thuộc danh mục này, bạn nên tránh làm gián đoạn người dùng và cân nhắc chờ thêm nhiều người dùng cập nhật ứng dụng của bạn trước khi bật chế độ thực thi.