啟用強制執行 App Check

瞭解 App Check 對使用者的影響,並準備好繼續後,即可啟用 App Check 強制執行功能。

下列步驟說明如何為 Firebase AI LogicSQL ConnectRealtime DatabaseCloud FirestoreCloud StorageAuthentication、適用於 iOS 的 Google Identity、Maps JavaScript API 和 Places API (新版) 啟用強制執行功能。為產品啟用強制執行後,所有未驗證的要求都會遭到拒絕。

  1. Firebase 控制台中,依序前往「Security」(安全性) >「App Check」

  2. 展開要啟用強制執行的產品指標檢視畫面。

  3. 按一下「強制執行」,然後確認所選項目。

請注意,啟用強制執行後,最多可能需要 15 分鐘才會生效。

重送攻擊防護機制 (Beta 版)

根據預設,App Check 會使用工作階段權杖,這類權杖的存留時間 (TTL) 可設定為 30 分鐘7 天。這些工作階段權杖會由 App Check SDK 緩存,並隨應用程式的要求一併傳送,在 TTL 到期前可重複使用。使用工作階段權杖屬於基本保護措施

如要進一步強化防護,除了 App Check 提供的基本防護外,您也可以選擇強制執行重播防護。強制執行重播保護措施時,會發生以下情況:

  • App Check封鎖使用工作階段權杖傳送至受保護 API 的要求。而是App Check只會允許使用新核發的有限用途權杖,向受保護的 API 發出要求。如要瞭解如何在應用程式中啟用受限制的權杖,請參閱產品專屬說明文件。

  • 驗證有限用途權杖後,系統會耗用該權杖,因此權杖只能使用一次,可防範重放攻擊。

  • App Check SDK 會為每項要求產生新權杖。這個程序可能會增加延遲時間,進而影響要求,有時還會產生費用 (視認證供應商而定)。

如要強制執行重播保護機制,請按照下列步驟操作:

  1. 在應用程式的程式碼集內,啟用使用次數受限的權杖。如需這些操作說明,請參閱產品專屬說明文件:

  2. Firebase 控制台中,依序前往「Security」(安全性) >「App Check」

  3. 展開受保護 API 的指標檢視畫面。

  4. 確認「基本保護」強制執行,然後按一下「繼續」

  5. 如要保護裝置免於重播攻擊,請選擇「Unenforced (monitoring only)」(僅限監控) 或「Enforced」(強制執行)

    請考量下列事項,決定何時強制執行重播保護措施:

    • 如果大量使用者可能使用未啟用有限用途權杖的舊版應用程式,建議您監控要求。如果您立即強制執行重放攻擊防護機制,系統會封鎖這些使用者的要求。

    • Firebase 控制台的「安全性」>「App Check」>「API」分頁中,您可以監控「未驗證:重複使用的權杖」指標,瞭解有多少要求含有先前要求已使用的權杖。如果近期有大量要求屬於這類,請避免中斷使用者體驗,並考慮等待更多使用者更新應用程式,再啟用強制執行。