このページでは、組み込みの App Attest プロバイダーを使用して、Apple アプリで App Check を有効にする方法について説明します。 App Check を有効にすると、アプリのみがプロジェクトの Firebase リソースにアクセスできるようになります。この機能の概要を参照してください。
App Check はApp Attestを使用して、Firebase サービスへのリクエストが本物のアプリからのものであることを確認します。 App Check は現在、不正リスクの分析に App Attest を使用していません。
独自のカスタム プロバイダーで App Check を使用する場合は、「カスタム App Check プロバイダーを実装する」を参照してください。
1. Firebase プロジェクトをセットアップする
App Attest を使用するには、Xcode 12.5 以降が必要です。
Firebase を Apple プロジェクトにまだ追加していない場合は追加します。
Firebase コンソールのApp Checkセクションで、App Attest プロバイダに App Check を使用するようにアプリを登録します。
通常、プロジェクトのすべてのアプリを登録する必要があります。これは、Firebase プロダクトの適用を有効にすると、登録されたアプリのみがプロダクトのバックエンド リソースにアクセスできるようになるためです。
オプション: アプリの登録設定で、プロバイダーによって発行された App Check トークンのカスタム Time-to-Live (TTL) を設定します。 TTL は 30 分から 7 日間の任意の値に設定できます。この値を変更するときは、次のトレードオフに注意してください。
- セキュリティ: TTL を短くすると、漏洩または傍受されたトークンが攻撃者によって悪用される可能性があるウィンドウが減少するため、セキュリティが強化されます。
- パフォーマンス: TTL が短いほど、アプリはより頻繁に構成証明を実行します。アプリの構成証明プロセスは、実行されるたびにネットワーク リクエストに待機時間を追加するため、短い TTL はアプリのパフォーマンスに影響を与える可能性があります。
- クォータとコスト: TTL を短くし、再認証を頻繁に行うと、クォータがより早く枯渇します。また、有料サービスの場合は、より多くのコストがかかる可能性があります。割り当てと制限を参照してください。
デフォルトの TTL である1 時間は、ほとんどのアプリにとって妥当です。 App Check ライブラリは、TTL 期間の約半分でトークンを更新することに注意してください。
2. App Check ライブラリをアプリに追加する
App Check の依存関係をプロジェクトの
Podfileに追加します。pod 'FirebaseAppCheck'
または、代わりにSwift Package Managerを使用することもできます。
依存している他のすべての Firebase SDK の最新バージョンも使用していることを確認してください。
pod installを実行し、作成された.xcworkspaceファイルを開きます。Xcode で、 App Attest機能をアプリに追加します。
プロジェクトの
.entitlementsファイルで、App Attest 環境をproductionに設定します。
3.アプリチェックの初期化
他の Firebase SDK を使用する前に、App Check を初期化する必要があります。
まず、 AppCheckProviderFactoryの実装を記述します。実装の詳細は、ユース ケースによって異なります。
たとえば、iOS 14 以降のユーザーしかいない場合は、常にAppAttestProviderオブジェクトを作成できます。
迅速
注:この Firebase 製品は、watchOS ターゲットでは使用できません。
class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
return AppAttestProvider(app: app)
}
}Objective-C
注:この Firebase 製品は、watchOS ターゲットでは使用できません。
@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end
@implementation YourSimpleAppCheckProviderFactory
- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
return [[FIRAppAttestProvider alloc] initWithApp:app];
}
@endまたは、iOS 14 以降でAppAttestProviderオブジェクトを作成し、以前のバージョンではDeviceCheckProviderにフォールバックできます。
迅速
注:この Firebase 製品は、watchOS ターゲットでは使用できません。
class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
if #available(iOS 14.0, *) {
return AppAttestProvider(app: app)
} else {
return DeviceCheckProvider(app: app)
}
}
}Objective-C
注:この Firebase 製品は、watchOS ターゲットでは使用できません。
@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end
@implementation YourAppCheckProviderFactory
- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
if (@available(iOS 14.0, *)) {
return [[FIRAppAttestProvider alloc] initWithApp:app];
} else {
return [[FIRDeviceCheckProvider alloc] initWithApp:app];
}
}
@end
AppCheckProviderFactoryクラスを実装したら、それを使用するように App Check を構成します。
迅速
注:この Firebase 製品は、watchOS ターゲットでは使用できません。
let providerFactory = YourAppCheckProviderFactory() AppCheck.setAppCheckProviderFactory(providerFactory) FirebaseApp.configure()
Objective-C
注:この Firebase 製品は、watchOS ターゲットでは使用できません。
YourAppCheckProviderFactory *providerFactory =
[[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];
[FIRApp configure];次のステップ
App Check ライブラリがアプリにインストールされたら、更新されたアプリのユーザーへの配布を開始します。
更新されたクライアント アプリは、Firebase へのすべてのリクエストとともに App Check トークンの送信を開始しますが、Firebase コンソールの App Check セクションで適用を有効にするまで、Firebase 製品ではトークンが有効である必要はありません。
メトリックを監視し、適用を有効にする
ただし、強制を有効にする前に、それによって既存の正当なユーザーが混乱しないことを確認する必要があります。一方、アプリ リソースの不審な使用が見られる場合は、すぐに適用を有効にすることをお勧めします。
この決定を行うために、使用しているサービスの App Check 指標を確認できます。
- Realtime Database、Cloud Firestore、Cloud Storage のApp Check リクエスト メトリックを監視します。
- Cloud Functions の App Check リクエスト メトリックをモニタリングします。
App Check の実施を有効にする
App Check がユーザーにどのように影響するかを理解し、続行する準備ができたら、App Check の適用を有効にできます。
- Realtime Database、Cloud Firestore、Cloud Storage に対してApp Checkの適用を有効にします。
- Cloud Functions の App Check 適用を有効にします。
デバッグ環境で App Check を使用する
アプリを App Check に登録した後、開発中のシミュレーターや継続的インテグレーション (CI) 環境など、App Check が通常は有効と分類しない環境でアプリを実行する場合は、次のことができます。実際の構成証明プロバイダーの代わりに App Check デバッグ プロバイダーを使用するアプリのデバッグ ビルドを作成します。
Apple プラットフォームのデバッグ プロバイダで App Check を使用する を参照してください。