תחילת השימוש ב-App Check עם App Attest בפלטפורמות של Apple

בדף הזה מוסבר איך להפעיל את App Check באפליקציה של Apple, באמצעות ספק האימות המובנה של האפליקציה. הפעלת App Check עוזרת לוודא שרק לאפליקציה שלכם תהיה גישה למשאבי Firebase של הפרויקט. סקירה כללית של התכונה

App Check משתמש ב-App Attest כדי לאמת שהבקשות לשירותי Firebase מגיעות מהאפליקציה האותנטית שלכם. בשלב הזה, App Check לא משתמש/ת באימות אפליקציה כדי לנתח את הסיכון להונאה.

כדי להשתמש ב-App Check עם ספק מותאם אישית, קראו את המאמר הטמעה של ספק App Check בהתאמה אישית.

1. הגדרת פרויקט Firebase

1. כדי להשתמש ב-App Attest, צריך Xcode מגרסה 12.5 ואילך.

2. מוסיפים את Firebase לפרויקט שלכם ב-Apple, אם עדיין לא עשיתם זאת.

3. רושמים את האפליקציות לשימוש ב-App Check אצל ספק App Attest בקטע App Check במסוף Firebase.

   בדרך כלל צריך לרשום את כל האפליקציות של הפרויקט, כי אחרי שמפעילים אכיפה במוצר של Firebase, רק אפליקציות רשומות יכולות לגשת למשאבי הקצה העורפי של המוצר.

4. אופציונלי: בהגדרות של רישום האפליקציה, מגדירים אורך חיים (TTL) בהתאמה אישית לאסימוני App Check שהונפקו על ידי הספק. אפשר להגדיר את TTL לכל ערך בין 30 דקות ל-7 ימים. כשמשנים את הערך הזה, חשוב לזכור את הפשרות הבאות:

   • אבטחה: זמן חיים קצר יותר של אסימון מספק אבטחה חזקה יותר, כי הוא מצמצם את החלון שבו תוקף יכול לנצל לרעה אסימון שדלף או נתפס.
   • ביצועים: אורך חיים קצר יותר פירושו שהאפליקציה תבצע אימות (attestation) בתדירות גבוהה יותר. תהליך האימות של האפליקציה מוסיף זמן אחזור לבקשות הרשת בכל פעם שהוא מתבצע, ולכן TTL קצר יכול להשפיע על הביצועים של האפליקציה.
   • מכסה ועלות: TTL קצר יותר ואימות חוזר תכופים מורידים את המכסה מהר יותר, ובשירותים בתשלום יכול להיות שהעלות תהיה גבוהה יותר. מידע נוסף זמין בקטע מכסות ומגבלות.

   ה-TTL שמוגדר כברירת מחדל, של שעה אחת, סביר ברוב האפליקציות. חשוב לזכור שהספרייה App Check מרעננת את האסימונים בערך במחצית משך ה-TTL.

2. הוספת הספרייה App Check לאפליקציה

1. מוסיפים את יחסי התלות של App Check ל-Podfile של הפרויקט:

   pod 'FirebaseAppCheck'

   לחלופין, אפשר להשתמש ב-Swift Package Manager.

   חשוב לוודא שאתם משתמשים גם בגרסה העדכנית ביותר של כל ערכת SDK אחרת של Firebase שאתם תלויים בה.

2. מריצים את pod install ופותחים את הקובץ .xcworkspace שנוצר.

3. ב-Xcode, מוסיפים את היכולת App Attest לאפליקציה.

4. בקובץ .entitlements של הפרויקט, מגדירים את הסביבה של App Attest לערך production.

3. אתחול של App Check

צריך להפעיל את App Check לפני שמשתמשים ב-SDK אחר של Firebase.

קודם כל, כותבים הטמעה של AppCheckProviderFactory. הפרטים הספציפיים של ההטמעה תלויים בתרחיש לדוגמה.

לדוגמה, אם יש לכם רק משתמשים ב-iOS 14 ואילך, תוכלו פשוט ליצור תמיד אובייקטים מסוג AppAttestProvider:

class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return AppAttestProvider(app: app)
  }
}

@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourSimpleAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  return [[FIRAppAttestProvider alloc] initWithApp:app];
}

@end

לחלופין, אפשר ליצור אובייקטים מסוג AppAttestProvider ב-iOS 14 ואילך, ולחזור לאובייקטים מסוג DeviceCheckProvider בגרסאות קודמות:

class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    if #available(iOS 14.0, *) {
      return AppAttestProvider(app: app)
    } else {
      return DeviceCheckProvider(app: app)
    }
  }
}

@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  if (@available(iOS 14.0, *)) {
    return [[FIRAppAttestProvider alloc] initWithApp:app];
  } else {
    return [[FIRDeviceCheckProvider alloc] initWithApp:app];
  }
}

@end

אחרי שמטמיעים את הכיתה AppCheckProviderFactory, מגדירים את App Check כך שישתמש בה:

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

השלבים הבאים

לאחר התקנת הספרייה App Check באפליקציה, אפשר להתחיל להפיץ את האפליקציה המעודכנת למשתמשים.

אפליקציית הלקוח המעודכנת תתחיל לשלוח אסימוני App Check יחד עם כל בקשה שהיא שולחת ל-Firebase, אבל מוצרי Firebase לא ידרשו שהאסימונים יהיו תקפים עד שתפעילו את האכיפה בקטע App Check במסוף Firebase.

מעקב אחרי המדדים והפעלת האכיפה

עם זאת, לפני שמפעילים את האכיפה, חשוב לוודא שהפעולה הזו לא תפריע למשתמשים החוקיים הקיימים. לעומת זאת, אם אתם רואים שימוש חשוד במשאבי האפליקציה, מומלץ להפעיל את האכיפה מוקדם יותר.

כדי לעזור לכם לקבל את ההחלטה הזו, תוכלו לעיין במדדים של App Check בשירותים שבהם אתם משתמשים:

• מעקב אחרי מדדי הבקשות של App Check עבור Realtime Database,‏ Cloud Firestore,‏ Cloud Storage,‏ Authentication (בטא) ו-Vertex AI in Firebase.
• מעקב אחר מדדי הבקשות של App Check עבור Cloud Functions.

הפעלת אכיפה של App Check

אחרי שתבינו איך App Check ישפיע על המשתמשים שלכם ואתם מוכנים להמשיך, תוכלו להפעיל את האכיפה של App Check:

• מפעילים את האכיפה של App Check עבור Realtime Database,‏ Cloud Firestore,‏ Cloud Storage,‏ Authentication (בטא) ו-Vertex AI in Firebase.
• מפעילים את אכיפת App Check עבור Cloud Functions.

שימוש ב-App Check בסביבות ניפוי באגים

אחרי שרושמים את האפליקציה ל-App Check רוצים להריץ את האפליקציה בסביבה שבדרך כלל App Check לא מסווגת כתקינה, כמו סימולטור במהלך פיתוח או סביבת אינטגרציה רציפה (CI), אפשר ליצור גרסת build לניפוי באגים של האפליקציה שמשתמשת בספק ניפוי הבאגים App Check במקום בספק אימות אמיתי.

שימוש ב-App Check עם ספק ניפוי הבאגים בפלטפורמות של Apple