本頁面說明如何使用內建的 App Attest 供應商,在 Apple 應用程式中啟用 App Check。啟用 App Check 可確保只有您的應用程式可以存取專案的 Firebase 資源。請參閱這項功能的總覽。
App Check 會使用 App Attest 驗證 Firebase 服務的要求是否來自您的正版應用程式。App Check 目前不會使用 App Attest 分析詐欺風險。
如果您想搭配自訂提供者使用 App Check,請參閱實作自訂 App Check 提供者。
1. 設定 Firebase 專案
您必須使用 Xcode 12.5 以上版本才能使用 App Attest。
如果尚未將 Firebase 新增至 Apple 專案,請將 Firebase 新增至 Apple 專案。
在 Firebase 控制台的 App Check 專區中,為應用程式註冊透過 App Attest 供應商使用 App Check。
您通常需要註冊所有專案的應用程式,因為一旦啟用 Firebase 產品的強制執行功能,只有已註冊的應用程式才能存取產品的後端資源。
選用:在應用程式註冊設定中,為供應商核發的 App Check 權杖設定自訂存留時間 (TTL)。存留時間可設為 30 分鐘至 7 天之間的任何值。變更這個值時,請注意下列權衡:
- 安全性:縮短存留時間可提供更強的安全性,因為這樣一來,攻擊者就無法在較短的時間內濫用遭洩漏或攔截的權杖。
- 效能:TTL 越短,應用程式執行認證的頻率就越高。由於應用程式認證程序每次執行時都會為網路要求增加延遲時間,因此 TTL 時間過短可能會影響應用程式效能。
- 配額和費用:較短的 TTL 和頻繁的重複認證會讓配額耗盡得更快,而付費服務可能會產生更多費用。請參閱「配額與限制」。
預設的 TTL 為 1 小時,適用於大多數應用程式。請注意,App Check 程式庫會以約一半時間的 TTL 值重新整理權杖。
2. 將 App Check 程式庫新增至應用程式
將 App Check 的依附元件新增至專案的
Podfile:pod 'FirebaseAppCheck'
或者,您也可以改用 Swift Package Manager。
此外,也請確保您使用的其他 Firebase SDK 是最新版本。
執行
pod install,並開啟已建立的.xcworkspace檔案。在 Xcode 中,將 App Attest 功能新增至應用程式。
在專案的
.entitlements檔案中,將應用程式認證環境設為production。
3. 初始化 App Check
您必須先初始化 App Check,才能使用任何其他 Firebase SDK。
首先,請編寫 AppCheckProviderFactory 的實作項目。具體實作方式會因用途而異。
舉例來說,如果您只有 iOS 14 以上版本的使用者,可以一律建立 AppAttestProvider 物件:
Swift
注意:這項 Firebase 產品不適用於 watchOS 目標。
class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory { func createProvider(with app: FirebaseApp) -> AppCheckProvider? { return AppAttestProvider(app: app) } }
Objective-C
注意:這項 Firebase 產品不適用於 watchOS 目標。
@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory> @end @implementation YourSimpleAppCheckProviderFactory - (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app { return [[FIRAppAttestProvider alloc] initWithApp:app]; } @end
您也可以在 iOS 14 以上版本中建立 AppAttestProvider 物件,並在較舊版本中建立 DeviceCheckProvider:
Swift
注意:這項 Firebase 產品不適用於 watchOS 目標。
class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory { func createProvider(with app: FirebaseApp) -> AppCheckProvider? { if #available(iOS 14.0, *) { return AppAttestProvider(app: app) } else { return DeviceCheckProvider(app: app) } } }
Objective-C
注意:這項 Firebase 產品不適用於 watchOS 目標。
@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory> @end @implementation YourAppCheckProviderFactory - (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app { if (@available(iOS 14.0, *)) { return [[FIRAppAttestProvider alloc] initWithApp:app]; } else { return [[FIRDeviceCheckProvider alloc] initWithApp:app]; } } @end
實作 AppCheckProviderFactory 類別後,請將 App Check 設為使用該類別:
Swift
注意:這項 Firebase 產品不適用於 watchOS 目標。
let providerFactory = YourAppCheckProviderFactory() AppCheck.setAppCheckProviderFactory(providerFactory) FirebaseApp.configure()
Objective-C
注意:這項 Firebase 產品不適用於 watchOS 目標。
YourAppCheckProviderFactory *providerFactory = [[YourAppCheckProviderFactory alloc] init]; [FIRAppCheck setAppCheckProviderFactory:providerFactory]; [FIRApp configure];
後續步驟
在應用程式中安裝 App Check 程式庫後,請開始向使用者發布更新版應用程式。
更新後的用戶端應用程式將開始傳送 App Check 權杖,以及對 Firebase 發出的每個要求,但在您於 Firebase 控制台的 App Check 區段啟用強制執行之前,Firebase 產品將不需要權杖有效。
監控指標並啟用強制執行功能
不過,啟用違規處置前,請先確認這麼做不會影響現有的合法使用者。另一方面,如果您發現應用程式資源遭到可疑使用,可能需要盡快啟用強制執行機制。
為協助您做出這項決定,您可以查看所用服務的 App Check 指標:
- 監控 Realtime Database、Cloud Firestore、Cloud Storage、Authentication (Beta 版) 和 Vertex AI in Firebase 的 App Check 要求指標。
- 監控「Cloud Functions」的 App Check 個要求指標。
啟用 App Check 強制執行功能
瞭解 App Check 對使用者的影響,並準備繼續執行時,您可以啟用 App Check 強制執行機制:
- 為 Realtime Database、Cloud Firestore、Cloud Storage、Authentication (Beta 版) 和 Vertex AI in Firebase 啟用 App Check 強制執行功能。
- 為 Cloud Functions 啟用 App Check 強制執行設定。
在偵錯環境中使用 App Check
如果您在為應用程式註冊 App Check 後,想在 App Check 通常不會歸類為有效的環境中執行應用程式,例如開發期間的模擬器,或來自持續整合 (CI) 環境,您可以建立應用程式的偵錯版本,使用 App Check 偵錯提供者,而非實際的認證提供者。
請參閱「在 Apple 平台上使用 App Check 與偵錯提供者」。