Activer l'application d'App Check

Lorsque vous comprenez l'impact de App Check sur vos utilisateurs et que vous êtes prêt à continuer, vous pouvez activer l'application de App Check.

Les étapes suivantes décrivent comment activer l'application des règles pour Firebase AI Logic, SQL Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity pour iOS, l'API Maps JavaScript et l'API Places (nouvelle version). Une fois l'application activée pour un produit, toutes les requêtes non validées adressées à ce produit seront refusées.

  1. Dans la consoleFirebase, accédez à Sécurité > App Check.

  2. Développez la vue des métriques du produit pour lequel vous souhaitez activer l'application des règles.

  3. Cliquez sur Appliquer, puis confirmez votre choix.

Notez que l'application de la règle peut prendre jusqu'à 15 minutes après son activation.

Protection contre le rejeu (bêta)

Par défaut, App Check utilise des jetons de session dont la valeur TTL (Time To Live) est configurable et comprise entre 30 minutes et 7 jours. Ces jetons de session sont mis en cache par le SDK App Check, sont envoyés avec les requêtes de votre application et peuvent être réutilisés jusqu'à l'expiration de leur TTL. L'utilisation de jetons de session est considérée comme une protection de base.

Pour renforcer la protection au-delà de la protection de base offerte par App Check, vous pouvez éventuellement appliquer la protection contre la réutilisation. Voici ce qui se passe lorsque vous appliquez la protection contre la rediffusion :

  • App Check bloquera les requêtes envoyées à l'API protégée qui utilisent des jetons de session. Au lieu de cela, App Check n'autorisera qu'une requête à l'API protégée qui utilise un jeton à usage limité nouvellement créé. Consultez la documentation spécifique au produit pour savoir comment activer l'utilisation de jetons à usage limité dans votre application.

  • Une fois le jeton à usage limité validé, il est consommé pour ne pouvoir être utilisé qu'une seule fois, ce qui empêche les attaques par relecture.

  • Le SDK App Check génère un nouveau jeton pour chaque requête. Ce processus peut avoir un impact sur vos demandes en ajoutant une certaine latence et parfois un coût (selon votre fournisseur d'attestation).

Voici comment appliquer la protection contre la rediffusion :

  1. Dans le codebase de votre application, activez l'utilisation de jetons à usage limité. Pour obtenir ces instructions, consultez la documentation spécifique au produit :

  2. Dans la consoleFirebase, accédez à Sécurité > App Check.

  3. Développez la vue des métriques pour l'API protégée.

  4. Assurez-vous que l'option Protection de base est Appliquée, puis cliquez sur Continuer.

  5. Pour la protection contre la relecture, choisissez Non appliqué (surveillance uniquement) ou Appliqué.

    Pour décider quand appliquer la protection contre la réutilisation, tenez compte des points suivants :

    • Nous vous recommandons de surveiller vos requêtes si un nombre important de vos utilisateurs est susceptible d'utiliser des versions antérieures de votre application sans jetons à usage limité activés. Si vous appliquez immédiatement la protection contre la relecture, les requêtes de ces utilisateurs seront bloquées.

    • Dans l'onglet API de la console Firebase, vous pouvez surveiller la métrique Non validé : jeton réutilisé, qui correspond au nombre de requêtes comportant un jeton déjà utilisé dans une requête précédente. Si une partie importante des demandes récentes relève de cette catégorie, vous devez éviter de perturber les utilisateurs et envisager d'attendre que davantage d'utilisateurs mettent à jour votre application avant d'activer l'application des règles.