Esta página le muestra cómo habilitar App Check en una aplicación de Apple, usando su proveedor de App Check personalizado . Cuando habilita App Check, ayuda a garantizar que solo su aplicación pueda acceder a los recursos de Firebase de su proyecto.
Si desea utilizar App Check con los proveedores integrados, consulte los documentos de App Check con App Attest y App Check con DeviceCheck .
Antes de que empieces
Agregue Firebase a su proyecto de Apple si aún no lo ha hecho.
Implemente la lógica del lado del servidor de su proveedor App Check personalizado .
1. Agregue la biblioteca App Check a su aplicación
Agregue la dependencia de App Check al
Podfile
de su proyecto:pod 'FirebaseAppCheck'
O, alternativamente, puede usar Swift Package Manager en su lugar.
Además, asegúrese de estar usando la versión más reciente de cualquier biblioteca de cliente de servicio de Firebase de la que dependa.
Ejecute
pod install
y abra el archivo.xcworkspace
creado.
2. Implementar los protocolos de verificación de aplicaciones
Primero, debe crear clases que implementen los protocolos AppCheckProvider
y AppCheckProviderFactory
.
Su clase AppCheckProvider
debe tener un getToken(completion:)
, que recopila cualquier información que su proveedor de App Check personalizado requiera como prueba de autenticidad y la envía a su servicio de adquisición de tokens a cambio de un token de App Check. El SDK de App Check maneja el almacenamiento en caché de tokens, así que obtenga siempre un nuevo token en su implementación de getToken(completion:)
.
Rápido
class YourCustomAppCheckProvider: NSObject, AppCheckProvider { var app: FirebaseApp init(withFirebaseApp app: FirebaseApp) { self.app = app super.init() } func getToken(completion handler: @escaping (AppCheckToken?, Error?) -> Void) { DispatchQueue.main.async { // Logic to exchange proof of authenticity for an App Check token. // ... // Create AppCheckToken object. let exp = Date(timeIntervalSince1970: expirationFromServer) let token = AppCheckToken( token: tokenFromServer, expirationDate: exp ) // Pass the token or error to the completion handler. handler(token, nil) } } }
C objetivo
@interface YourCustomAppCheckProvider : NSObject <FIRAppCheckProvider> @property FIRApp *app; - (id)initWithApp:(FIRApp *)app; @end @implementation YourCustomAppCheckProvider - (id)initWithApp:app { self = [super init]; if (self) { self.app = app; } return self; } - (void)getTokenWithCompletion:(nonnull void (^)(FIRAppCheckToken * _Nullable, NSError * _Nullable))handler { dispatch_async(dispatch_get_main_queue(), ^{ // Logic to exchange proof of authenticity for an App Check token. // ... // Create FIRAppCheckToken object. NSTimeInterval exp = expirationFromServer; FIRAppCheckToken *token = [[FIRAppCheckToken alloc] initWithToken:tokenFromServer expirationDate:[NSDate dateWithTimeIntervalSince1970:exp]]; // Pass the token or error to the completion handler. handler(token, nil); }); } @end
Además, implemente una clase AppCheckProviderFactory
que cree instancias de su implementación de AppCheckProvider
:
Rápido
class YourCustomAppCheckProviderFactory: NSObject, AppCheckProviderFactory { func createProvider(with app: FirebaseApp) -> AppCheckProvider? { return YourCustomAppCheckProvider(withFirebaseApp: app) } }
C objetivo
@interface YourCustomAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory> @end @implementation YourCustomAppCheckProviderFactory - (nullable id<FIRAppCheckProvider>)createProviderWithApp:(FIRApp *)app { return [[YourCustomAppCheckProvider alloc] initWithApp:app]; } @end
3. Inicializar verificación de aplicaciones
Agregue el siguiente código de inicialización a su delegado de aplicación o inicializador de aplicación:
Rápido
let providerFactory = YourAppCheckProviderFactory() AppCheck.setAppCheckProviderFactory(providerFactory) FirebaseApp.configure()
C objetivo
YourAppCheckProviderFactory *providerFactory = [[YourAppCheckProviderFactory alloc] init]; [FIRAppCheck setAppCheckProviderFactory:providerFactory]; [FIRApp configure];
Una vez que la biblioteca App Check esté instalada en su aplicación, comience a distribuir la aplicación actualizada a sus usuarios.
La aplicación cliente actualizada comenzará a enviar tokens de verificación de aplicaciones junto con cada solicitud que haga a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección Verificación de aplicaciones de la consola de Firebase. Vea las siguientes dos secciones para más detalles.
4. Supervise las métricas de solicitud
Ahora que su aplicación actualizada está en manos de los usuarios, puede habilitar la aplicación de Verificación de aplicaciones para los productos de Firebase que usa. Sin embargo, antes de hacerlo, debe asegurarse de que hacerlo no interrumpirá a sus usuarios legítimos existentes.
Base de datos en tiempo real, Cloud Firestore y almacenamiento en la nube
Una herramienta importante que puede usar para tomar esta decisión para Realtime Database, Cloud Firestore y Cloud Storage es la pantalla de métricas de solicitud de verificación de la aplicación.
Para ver las métricas de solicitudes de App Check para un producto, abra la sección App Check de Firebase console. Por ejemplo:
Las métricas de solicitud para cada producto se dividen en cuatro categorías:
Las solicitudes verificadas son aquellas que tienen un token de verificación de aplicación válido. Después de habilitar el cumplimiento de App Check, solo las solicitudes en esta categoría tendrán éxito.
Las solicitudes de clientes obsoletas son aquellas a las que les falta un token de verificación de aplicaciones. Estas solicitudes pueden provenir de una versión anterior del SDK de Firebase antes de que se incluyera App Check en la aplicación.
Las solicitudes de origen desconocido son aquellas a las que les falta un token de App Check y no parece que provengan del SDK de Firebase. Estos pueden provenir de solicitudes realizadas con claves API robadas o solicitudes falsificadas realizadas sin el SDK de Firebase.
Las solicitudes no válidas son aquellas que tienen un token de verificación de aplicación no válido , que puede provenir de un cliente no auténtico que intenta hacerse pasar por su aplicación o de entornos emulados.
La distribución de estas categorías para su aplicación debe informarle cuándo decide habilitar la aplicación. Aquí hay algunas pautas:
Si casi todas las solicitudes recientes provienen de clientes verificados, considere habilitar la aplicación para comenzar a proteger sus recursos de back-end.
Si una parte significativa de las solicitudes recientes provienen de clientes probablemente obsoletos, para evitar interrumpir a los usuarios, considere esperar a que más usuarios actualicen su aplicación antes de habilitar la aplicación. Hacer cumplir App Check en una aplicación lanzada romperá las versiones anteriores de la aplicación que no están integradas con el SDK de App Check.
Si su aplicación aún no se ha lanzado, debe habilitar la ejecución de App Check de inmediato, ya que no hay ningún cliente obsoleto en uso.
Funciones en la nube
Para Cloud Functions, puede obtener métricas de App Check examinando los registros de sus funciones. Cada invocación de una función invocable emite una entrada de registro estructurada como el siguiente ejemplo:
{
"severity": "INFO", // INFO, WARNING, or ERROR
"logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
"jsonPayload": {
"message": "Callable header verifications passed.",
"verifications": {
// ...
"app": "MISSING", // VALID, INVALID, or MISSING
}
}
}
Puede analizar estas métricas en Google Cloud Console creando una métrica de contador basada en registros con el siguiente filtro de métrica:
resource.type="cloud_function" resource.labels.function_name="YOUR_CLOUD_FUNCTION" resource.labels.region="us-central1" labels.firebase-log-type="callable-request-verification"
Etiquete la métrica con el campo jsonPayload.verifications.appCheck
.
5. Habilitar la aplicación
Para habilitar la aplicación, siga las instrucciones para cada producto, a continuación. Una vez que habilite la aplicación para un producto, se rechazarán todas las solicitudes no verificadas a ese producto.
Base de datos en tiempo real, Cloud Firestore y almacenamiento en la nube
Para habilitar la aplicación de Realtime Database, Cloud Firestore (iOS y Android) y Cloud Storage:
Abra la sección Verificación de aplicaciones de Firebase console.
Expanda la vista de métricas del producto para el que desea habilitar la aplicación.
Haga clic en Aplicar y confirme su elección.
Tenga en cuenta que pueden pasar hasta 15 minutos después de habilitar la aplicación para que surta efecto.
Funciones en la nube
Consulte Habilitar el cumplimiento de App Check para Cloud Functions .