Habilite App Check con App Attest en plataformas Apple

Esta página le muestra cómo habilitar App Check en una aplicación de Apple, utilizando el proveedor de App Attest integrado. Cuando habilita App Check, ayuda a garantizar que solo su aplicación pueda acceder a los recursos de Firebase de su proyecto. Vea una descripción general de esta característica.

App Check usa App Attest para verificar que las solicitudes a los servicios de Firebase provienen de su aplicación auténtica. App Check actualmente no utiliza App Attest para analizar el riesgo de fraude .

Si desea utilizar App Check con su propio proveedor personalizado, consulte Implementar un proveedor personalizado de App Check .

1. Configura tu proyecto de Firebase

  1. Necesitará Xcode 12.5+ para usar App Attest.

  2. Agregue Firebase a su proyecto de Apple si aún no lo ha hecho.

  3. Registre sus aplicaciones para usar App Check con el proveedor App Attest en la sección App Check de Firebase console.

    Por lo general, debe registrar todas las aplicaciones de su proyecto, ya que una vez que habilite la aplicación para un producto de Firebase, solo las aplicaciones registradas podrán acceder a los recursos de back-end del producto.

  4. Opcional : en la configuración de registro de la aplicación, establezca un tiempo de vida (TTL) personalizado para los tokens de App Check emitidos por el proveedor. Puede establecer el TTL en cualquier valor entre 30 minutos y 7 días. Al cambiar este valor, tenga en cuenta las siguientes ventajas y desventajas:

    • Seguridad: los TTL más cortos brindan una mayor seguridad, ya que reducen la ventana en la que un atacante puede abusar de un token filtrado o interceptado.
    • Rendimiento: los TTL más cortos significan que su aplicación realizará la atestación con más frecuencia. Debido a que el proceso de atestación de la aplicación agrega latencia a las solicitudes de red cada vez que se realiza, un TTL breve puede afectar el rendimiento de su aplicación.
    • Cuota y costo: los TTL más cortos y la recertificación frecuente agotan su cuota más rápido y, para los servicios pagos, pueden costar más. Consulte Cuotas y límites .

    El TTL predeterminado de 1 hora es razonable para la mayoría de las aplicaciones. Tenga en cuenta que la biblioteca App Check actualiza los tokens aproximadamente a la mitad de la duración del TTL.

2. Agregue la biblioteca App Check a su aplicación

  1. Agregue la dependencia de App Check al Podfile de su proyecto:

    pod 'FirebaseAppCheck'

    O, alternativamente, puede usar Swift Package Manager en su lugar.

    Asegúrese de estar usando también la versión más reciente de cualquier otro SDK de Firebase del que dependa.

  2. Ejecute pod install y abra el archivo .xcworkspace creado.

  3. En Xcode, agregue la capacidad App Attest a su aplicación.

  4. En el archivo .entitlements de su proyecto, establezca el entorno App Attest en production .

3. Inicializar verificación de aplicaciones

Deberá inicializar App Check antes de usar cualquier otro SDK de Firebase.

Primero, escriba una implementación de AppCheckProviderFactory . Los detalles de su implementación dependerán de su caso de uso.

Por ejemplo, si solo tiene usuarios en iOS 14 y versiones posteriores, siempre puede crear objetos AppAttestProvider :

Rápido

Nota: Este producto de Firebase no está disponible en objetivos de watchOS.

class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return AppAttestProvider(app: app)
  }
}

C objetivo

Nota: Este producto de Firebase no está disponible en objetivos de watchOS.

@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourSimpleAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  return [[FIRAppAttestProvider alloc] initWithApp:app];
}

@end

O bien, puede crear objetos AppAttestProvider en iOS 14 y versiones posteriores, y recurrir a DeviceCheckProvider en versiones anteriores:

Rápido

Nota: Este producto de Firebase no está disponible en objetivos de watchOS.

class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    if #available(iOS 14.0, *) {
      return AppAttestProvider(app: app)
    } else {
      return DeviceCheckProvider(app: app)
    }
  }
}

C objetivo

Nota: Este producto de Firebase no está disponible en objetivos de watchOS.

@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  if (@available(iOS 14.0, *)) {
    return [[FIRAppAttestProvider alloc] initWithApp:app];
  } else {
    return [[FIRDeviceCheckProvider alloc] initWithApp:app];
  }
}

@end

Después de implementar una clase AppCheckProviderFactory , configure App Check para usarla:

Rápido

Nota: Este producto de Firebase no está disponible en objetivos de watchOS.

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

C objetivo

Nota: Este producto de Firebase no está disponible en objetivos de watchOS.

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

Una vez que la biblioteca App Check esté instalada en su aplicación, comience a distribuir la aplicación actualizada a sus usuarios.

La aplicación cliente actualizada comenzará a enviar tokens de verificación de aplicaciones junto con cada solicitud que haga a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección Verificación de aplicaciones de la consola de Firebase. Vea las siguientes dos secciones para más detalles.

5. Supervise las métricas de solicitud

Ahora que su aplicación actualizada está en manos de los usuarios, puede habilitar la aplicación de Verificación de aplicaciones para los productos de Firebase que usa. Sin embargo, antes de hacerlo, debe asegurarse de que hacerlo no interrumpirá a sus usuarios legítimos existentes.

Base de datos en tiempo real, Cloud Firestore y almacenamiento en la nube

Una herramienta importante que puede usar para tomar esta decisión para Realtime Database, Cloud Firestore y Cloud Storage es la pantalla de métricas de solicitud de verificación de la aplicación.

Para ver las métricas de solicitudes de App Check para un producto, abra la sección App Check de Firebase console. Por ejemplo:

Captura de pantalla de la página de métricas de App Check

Las métricas de solicitud para cada producto se dividen en cuatro categorías:

  • Las solicitudes verificadas son aquellas que tienen un token de verificación de aplicación válido. Después de habilitar el cumplimiento de App Check, solo las solicitudes en esta categoría tendrán éxito.

  • Las solicitudes de clientes obsoletas son aquellas a las que les falta un token de verificación de aplicaciones. Estas solicitudes pueden provenir de una versión anterior del SDK de Firebase antes de que se incluyera App Check en la aplicación.

  • Las solicitudes de origen desconocido son aquellas a las que les falta un token de App Check y no parece que provengan del SDK de Firebase. Estos pueden provenir de solicitudes realizadas con claves API robadas o solicitudes falsificadas realizadas sin el SDK de Firebase.

  • Las solicitudes no válidas son aquellas que tienen un token de verificación de aplicación no válido , que puede provenir de un cliente no auténtico que intenta hacerse pasar por su aplicación o de entornos emulados.

La distribución de estas categorías para su aplicación debe informarle cuándo decide habilitar la aplicación. Aquí hay algunas pautas:

  • Si casi todas las solicitudes recientes provienen de clientes verificados, considere habilitar la aplicación para comenzar a proteger sus recursos de back-end.

  • Si una parte significativa de las solicitudes recientes provienen de clientes probablemente obsoletos, para evitar interrumpir a los usuarios, considere esperar a que más usuarios actualicen su aplicación antes de habilitar la aplicación. Hacer cumplir App Check en una aplicación lanzada romperá las versiones anteriores de la aplicación que no están integradas con el SDK de App Check.

  • Si su aplicación aún no se ha lanzado, debe habilitar la ejecución de App Check de inmediato, ya que no hay ningún cliente obsoleto en uso.

Funciones en la nube

Para Cloud Functions, puede obtener métricas de App Check examinando los registros de sus funciones. Cada invocación de una función invocable emite una entrada de registro estructurada como el siguiente ejemplo:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Puede analizar estas métricas en Google Cloud Console creando una métrica de contador basada en registros con el siguiente filtro de métrica:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Etiquete la métrica con el campo jsonPayload.verifications.appCheck .

6. Habilitar la aplicación

Para habilitar la aplicación, siga las instrucciones para cada producto, a continuación. Una vez que habilite la aplicación para un producto, se rechazarán todas las solicitudes no verificadas a ese producto.

Base de datos en tiempo real, Cloud Firestore y almacenamiento en la nube

Para habilitar la aplicación de Realtime Database, Cloud Firestore (iOS y Android) y Cloud Storage:

  1. Abra la sección Verificación de aplicaciones de Firebase console.

  2. Expanda la vista de métricas del producto para el que desea habilitar la aplicación.

  3. Haga clic en Aplicar y confirme su elección.

Tenga en cuenta que pueden pasar hasta 15 minutos después de habilitar la aplicación para que surta efecto.

Funciones en la nube

Consulte Habilitar el cumplimiento de App Check para Cloud Functions .

Próximos pasos

Si, después de haber registrado su aplicación para App Check, desea ejecutar su aplicación en un entorno que App Check normalmente no clasificaría como válido, como un simulador durante el desarrollo o desde un entorno de integración continua (CI), puede cree una compilación de depuración de su aplicación que use el proveedor de depuración de App Check en lugar de un proveedor de atestación real.

Consulte Usar App Check con el proveedor de depuración en las plataformas de Apple .