Join us for Firebase Summit on November 10, 2021. Tune in to learn how Firebase can help you accelerate app development, release with confidence, and scale with ease. Register

Habilitar App Check con App Attest en iOS

Esta página le muestra cómo habilitar App Check en una aplicación de iOS, utilizando el proveedor integrado de App Attest. Cuando habilita App Check, ayuda a garantizar que solo su aplicación pueda acceder a los recursos de Firebase de su proyecto. Ver un Vista general de esta característica.

Verificar la aplicación usos App Attest para verificar que las solicitudes a los servicios de base de fuego son procedentes de su aplicación auténtica. Comprobar aplicación actualmente no utiliza la aplicación fe de analizar el riesgo de fraude .

Si desea utilizar la aplicación Comprobar con su propio proveedor personalizado, vea Implementar un proveedor Comprobar aplicación personalizada .

1. Configura tu proyecto de Firebase

  1. Añadir Firebase a su proyecto IOS si no lo ha hecho.

  2. Registre sus aplicaciones a utilizar la aplicación Consulte con el proveedor de la aplicación Attest en los Ajustes del proyecto> Aplicación Comprobar la sección de la consola Firebase.

    Por lo general, debe registrar todas las aplicaciones de su proyecto, porque una vez que habilite la aplicación para un producto de Firebase, solo las aplicaciones registradas podrán acceder a los recursos de backend del producto.

  3. Opcional: En la configuración de registro de aplicaciones, configurar una costumbre el tiempo de vida (TTL) para App Comprobar tokens emitido por el proveedor. Puede establecer el TTL en cualquier valor entre 30 minutos y 7 días. Al cambiar este valor, tenga en cuenta las siguientes compensaciones:

    • Seguridad: los TTL más cortos brindan mayor seguridad, ya que reducen la ventana en la que un atacante puede abusar de un token filtrado o interceptado.
    • Rendimiento: TTL más cortos significa que su aplicación realizará la certificación con más frecuencia. Debido a que el proceso de certificación de la aplicación agrega latencia a las solicitudes de red cada vez que se realiza, un TTL corto puede afectar el rendimiento de su aplicación.
    • Cuota: TTL más cortos y re-atestaciones frecuentes agotan su cuota más rápido. Ver las cuotas y límites .

    El TTL predeterminado de 1 hora, es razonable para la mayoría de aplicaciones.

2. Agregue la biblioteca App Check a su aplicación

  1. Añadir la dependencia para App Comprobar a su proyecto de Podfile :

    pod 'Firebase/AppCheck'

    O, alternativamente, puede utilizar Swift Gestor de paquetes en su lugar.

    Asegúrate de que también estás usando la última versión de cualquier otro SDK de Firebase del que dependas.

  2. Ejecutar pod install y abrir el creado .xcworkspace archivo.

  3. En Xcode, agregar la capacidad de Aplicación dar fe de su aplicación.

  4. En su proyecto de .entitlements archivo, configurar el entorno de App dar fe de production .

3. Inicializar la verificación de la aplicación

Deberá inicializar App Check antes de usar cualquier otro SDK de Firebase.

En primer lugar, escribir una implementación de AppCheckProviderFactory . Los detalles de su implementación dependerán de su caso de uso.

Por ejemplo, si sólo tiene usuarios en IOS 14 y más tarde, sólo tiene que crear siempre AppAttestProvider objetos:

Rápido

class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return AppAttestProvider(app: app)
  }
}

C objetivo

@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourSimpleAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  return [[FIRAppAttestProvider alloc] initWithApp:app];
}

@end

O bien, puede crear AppAttestProvider objetos en IOS 14 y más tarde, y caer de nuevo a DeviceCheckProvider en versiones anteriores:

Rápido

class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    if #available(iOS 14.0, *) {
      return AppAttestProvider(app: app)
    } else {
      return DeviceCheckProvider(app: app)
    }
  }
}

C objetivo

@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  if (@available(iOS 14.0, *)) {
    return [[FIRAppAttestProvider alloc] initWithApp:app];
  } else {
    return [[FIRDeviceCheckProvider alloc] initWithApp:app];
  }
}

@end

Después de haber implementado un AppCheckProviderFactory clase, configure la aplicación Comprobar usarlo:

Rápido

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

C objetivo

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

Una vez que la biblioteca App Check esté instalada en su aplicación, comience a distribuir la aplicación actualizada a sus usuarios.

La aplicación cliente actualizada comenzará a enviar tokens de verificación de aplicaciones junto con cada solicitud que realice a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección de verificación de aplicaciones de la consola de Firebase. Consulte las dos secciones siguientes para obtener más detalles.

5. Supervisar las métricas de solicitudes

Ahora que su aplicación actualizada está en manos de los usuarios, puede habilitar la aplicación de App Check para los productos de Firebase que usa. Sin embargo, antes de hacerlo, debe asegurarse de que hacerlo no afectará a sus usuarios legítimos existentes.

Base de datos en tiempo real y almacenamiento en la nube

Una herramienta importante que puede utilizar para tomar esta decisión para Realtime Database y Cloud Storage es la pantalla de métricas de solicitud de verificación de aplicaciones.

Para ver la solicitud Comprobar las métricas de la aplicación de un producto, abra la Configuración del proyecto> Aplicación Comprobar la sección de la consola Firebase. Por ejemplo:

Captura de pantalla de la página de métricas de App Check

Las métricas de solicitud para cada producto se dividen en cuatro categorías:

  • Solicitudes verificadas son los que tienen una aplicación válida Compruebe token. Después de habilitar la aplicación de App Check, solo las solicitudes de esta categoría tendrán éxito.

  • Solicitudes de los clientes que han sido superados son los que faltan un token Comprobar la aplicación. Estas solicitudes pueden ser de una versión anterior del SDK de Firebase antes de que se incluyera App Check en la aplicación.

  • Solicitudes de origen desconocido son los que faltan una aplicación Compruebe razón, y no parece que vienen desde el SDK Firebase. Estos pueden provenir de solicitudes realizadas con claves de API robadas o solicitudes falsificadas realizadas sin el SDK de Firebase.

  • Las solicitudes no válidas son aquellas que tienen una aplicación no válida Compruebe token, que puede ser desde un cliente no auténtico intento de hacerse pasar por su aplicación, o de ambientes emulados.

La distribución de estas categorías para su aplicación debe informar cuándo decide habilitar la aplicación. A continuación se muestran algunas pautas:

  • Si casi todas las solicitudes recientes provienen de clientes verificados, considere habilitar la aplicación para comenzar a proteger sus recursos de backend.

  • Si una parte significativa de las solicitudes recientes provienen de clientes probablemente obsoletos, para evitar interrumpir a los usuarios, considere esperar a que más usuarios actualicen su aplicación antes de habilitar la aplicación. La aplicación de App Check en una aplicación lanzada romperá las versiones anteriores de la aplicación que no están integradas con App Check SDK.

  • Si su aplicación aún no se ha lanzado, debe habilitar la aplicación de App Check inmediatamente, ya que no hay clientes desactualizados en uso.

Funciones en la nube

Para Cloud Functions, puede obtener métricas de App Check examinando los registros de sus funciones. Cada invocación de una función invocable emite una entrada de registro estructurada como el siguiente ejemplo:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Se pueden analizar estas métricas en Google Cloud Console mediante la creación de unos registros basados en el contador métrico con el siguiente filtro métrica:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Etiquetar la métrica utilizando el campo jsonPayload.verifications.appCheck .

6. Habilitar la aplicación

Para habilitar la aplicación, siga las instrucciones para cada producto, a continuación. Una vez que habilite la aplicación para un producto, se rechazarán todas las solicitudes no verificadas a ese producto.

Base de datos en tiempo real y almacenamiento en la nube

Para habilitar la aplicación de Realtime Database y Cloud Storage:

  1. Abrir el Registro Ajustes del proyecto> Aplicación sección de la consola Firebase.

  2. Expanda la vista de métricas del producto para el que desea habilitar la aplicación.

  3. Haga clic en Hacer cumplir y confirmar su elección.

Tenga en cuenta que pueden pasar hasta 10 minutos después de habilitar la aplicación para que surta efecto.

Funciones en la nube

Consulte Activar la aplicación Verificar el cumplimiento de las funciones de la nube .

Próximos pasos

Si, después de haber registrado su aplicación para App Check, desea ejecutar su aplicación en un entorno que App Check normalmente no clasificaría como válido, como un simulador durante el desarrollo o desde un entorno de integración continua (CI), puede cree una compilación de depuración de su aplicación que utilice el proveedor de depuración de App Check en lugar de un proveedor de certificación real.

Consulte Uso de aplicaciones Compruebe con el proveedor de depuración en IOS .