Abilita App Check con un provider personalizzato su piattaforme Apple

Questa pagina ti mostra come abilitare App Check in un'app Apple, utilizzando il tuo provider App Check personalizzato . Quando abiliti App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse Firebase del tuo progetto.

Se desideri utilizzare App Check con i provider integrati, consulta i documenti per App Check con App Attest e App Check con DeviceCheck .

Prima di iniziare

1. Aggiungi la libreria App Check alla tua app

  1. Aggiungi la dipendenza per App Check al Podfile del tuo progetto:

    pod 'FirebaseAppCheck'

    In alternativa, puoi invece utilizzare Swift Package Manager .

    Inoltre, assicurati di utilizzare la versione più recente di tutte le librerie client del servizio Firebase da cui dipendi.

  2. Esegui pod install e apri il file .xcworkspace creato.

2. Implementare i protocolli App Check

Innanzitutto, devi creare classi che implementano i protocolli AppCheckProvider e AppCheckProviderFactory .

La tua classe AppCheckProvider deve avere un getToken(completion:) , che raccoglie tutte le informazioni richieste dal tuo provider App Check personalizzato come prova di autenticità e le invia al tuo servizio di acquisizione token in cambio di un token App Check. L'App Check SDK gestisce la memorizzazione nella cache dei token, quindi ottieni sempre un nuovo token nella tua implementazione di getToken(completion:) .

Veloce

class YourCustomAppCheckProvider: NSObject, AppCheckProvider {
    var app: FirebaseApp

    init(withFirebaseApp app: FirebaseApp) {
        self.app = app
        super.init()
    }

    func getToken(completion handler: @escaping (AppCheckToken?, Error?) -> Void) {
        DispatchQueue.main.async {
            // Logic to exchange proof of authenticity for an App Check token.
            // ...

            // Create AppCheckToken object.
            let exp = Date(timeIntervalSince1970: expirationFromServer)
            let token = AppCheckToken(
                token: tokenFromServer,
                expirationDate: exp
            )

            // Pass the token or error to the completion handler.
            handler(token, nil)
        }
    }
}

Obiettivo-C

@interface YourCustomAppCheckProvider : NSObject <FIRAppCheckProvider>

@property FIRApp *app;

- (id)initWithApp:(FIRApp *)app;

@end

@implementation YourCustomAppCheckProvider

- (id)initWithApp:app {
    self = [super init];
    if (self) {
        self.app = app;
    }
    return self;
}

- (void)getTokenWithCompletion:(nonnull void (^)(FIRAppCheckToken * _Nullable,
                                                 NSError * _Nullable))handler {
    dispatch_async(dispatch_get_main_queue(), ^{
        // Logic to exchange proof of authenticity for an App Check token.
        // ...

        // Create FIRAppCheckToken object.
        NSTimeInterval exp = expirationFromServer;
        FIRAppCheckToken *token
            = [[FIRAppCheckToken alloc] initWithToken:tokenFromServer
                                       expirationDate:[NSDate dateWithTimeIntervalSince1970:exp]];

        // Pass the token or error to the completion handler.
        handler(token, nil);
    });
}

@end

Inoltre, implementa una classe AppCheckProviderFactory che crea istanze dell'implementazione di AppCheckProvider :

Veloce

class YourCustomAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return YourCustomAppCheckProvider(withFirebaseApp: app)
  }
}

Obiettivo-C

@interface YourCustomAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourCustomAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(FIRApp *)app {
    return [[YourCustomAppCheckProvider alloc] initWithApp:app];
}

@end

3. Inizializza il controllo dell'app

Aggiungi il codice di inizializzazione seguente al delegato dell'app o all'inizializzatore dell'app:

Veloce

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

Obiettivo-C

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

Dopo aver installato la libreria App Check nell'app, inizia a distribuire l'app aggiornata ai tuoi utenti.

L'app client aggiornata inizierà a inviare token App Check insieme a ogni richiesta effettuata a Firebase, ma i prodotti Firebase non richiederanno che i token siano validi finché non abiliti l'applicazione nella sezione App Check della console Firebase. Per i dettagli, vedere le due sezioni successive.

4. Monitorare le metriche delle richieste

Ora che la tua app aggiornata è nelle mani degli utenti, puoi abilitare l'applicazione di App Check per i prodotti Firebase che utilizzi. Prima di farlo, tuttavia, dovresti assicurarti che ciò non interrompa i tuoi utenti legittimi esistenti.

Database in tempo reale, Cloud Firestore e Cloud Storage

Uno strumento importante che puoi utilizzare per prendere questa decisione per Realtime Database, Cloud Firestore e Cloud Storage è la schermata delle metriche di richiesta di App Check.

Per visualizzare le metriche di richiesta di App Check per un prodotto, apri la sezione App Check della console Firebase. Per esempio:

Screenshot della pagina delle metriche di App Check

Le metriche di richiesta per ciascun prodotto sono suddivise in quattro categorie:

  • Le richieste verificate sono quelle che hanno un token App Check valido. Dopo aver abilitato l'applicazione di App Check, solo le richieste in questa categoria avranno esito positivo.

  • Le richieste client obsolete sono quelle a cui manca un token App Check. Queste richieste potrebbero provenire da una versione precedente dell'SDK Firebase prima che App Check fosse incluso nell'app.

  • Le richieste di origine sconosciuta sono quelle a cui manca un token App Check e non sembrano provenire da Firebase SDK. Potrebbero provenire da richieste effettuate con chiavi API rubate o richieste contraffatte effettuate senza Firebase SDK.

  • Le richieste non valide sono quelle che hanno un token App Check non valido, che potrebbe provenire da un client non autentico che tenta di impersonare la tua app o da ambienti emulati.

La distribuzione di queste categorie per la tua app dovrebbe informare quando decidi di abilitare l'applicazione. Ecco alcune linee guida:

  • Se quasi tutte le richieste recenti provengono da client verificati, valuta la possibilità di abilitare l'applicazione per iniziare a proteggere le tue risorse di back-end.

  • Se una parte significativa delle richieste recenti proviene da client probabilmente obsoleti, per evitare di interrompere gli utenti, valutare la possibilità di attendere che più utenti aggiornino l'app prima di abilitare l'applicazione. L'applicazione di App Check su un'app rilasciata interromperà le versioni precedenti dell'app che non sono integrate con App Check SDK.

  • Se la tua app non è stata ancora avviata, dovresti abilitare immediatamente l'applicazione di App Check, poiché non sono in uso client obsoleti.

Funzioni cloud

Per le funzioni cloud, puoi ottenere le metriche di App Check esaminando i registri delle tue funzioni. Ogni chiamata di una funzione richiamabile emette una voce di registro strutturata come nell'esempio seguente:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Puoi analizzare queste metriche in Google Cloud Console creando una metrica contatore basata su log con il seguente filtro di metrica:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Etichetta la metrica utilizzando il campo jsonPayload.verifications.appCheck .

5. Abilita l'applicazione

Per abilitare l'applicazione, segui le istruzioni per ciascun prodotto di seguito. Dopo aver abilitato l'applicazione per un prodotto, tutte le richieste non verificate a quel prodotto verranno rifiutate.

Database in tempo reale, Cloud Firestore e Cloud Storage

Per abilitare l'applicazione per Realtime Database, Cloud Firestore (iOS e Android) e Cloud Storage:

  1. Apri la sezione App Check della console Firebase.

  2. Espandi la visualizzazione delle metriche del prodotto per il quale desideri abilitare l'applicazione.

  3. Fare clic su Applica e confermare la scelta.

Tieni presente che possono essere necessari fino a 15 minuti dopo l'attivazione dell'applicazione affinché diventi effettiva.

Funzioni cloud

Vedere Abilitazione dell'applicazione di App Check per le funzioni cloud .