Включить проверку приложений с помощью специального поставщика на платформах Apple

На этой странице показано, как включить проверку приложений в приложении Apple с помощью собственного поставщика проверки приложений . Включив проверку приложений, вы гарантируете, что только ваше приложение может получить доступ к ресурсам Firebase вашего проекта.

Если вы хотите использовать проверку приложений с поставщиком DeviceCheck по умолчанию, см. раздел Включение проверки приложений с помощью DeviceCheck на платформах Apple .

Прежде чем вы начнете

1. Добавьте библиотеку App Check в свое приложение.

  1. Добавьте зависимость для App Check в Podfile вашего проекта:

    pod 'Firebase/AppCheck'

    Или, в качестве альтернативы, вы можете вместо этого использовать диспетчер пакетов Swift .

    Кроме того, убедитесь, что вы используете последнюю версию всех клиентских библиотек сервиса Firebase, от которых вы зависите.

  2. Запустите pod install и откройте созданный файл .xcworkspace .

2. Внедрите протоколы проверки приложений

Во-первых, необходимо создать классы, реализующие протоколы AppCheckProvider и AppCheckProviderFactory .

В вашем классе AppCheckProvider должен быть getToken(completion:) , который собирает любую информацию, которую ваш пользовательский поставщик проверки приложений требует в качестве доказательства подлинности, и отправляет ее в вашу службу получения маркера в обмен на токен проверки приложения. App Check SDK обрабатывает кэширование токенов, поэтому всегда получайте новый токен в своей реализации getToken(completion:) .

Быстрый

class YourCustomAppCheckProvider: NSObject, AppCheckProvider {
    var app: FirebaseApp

    init(withFirebaseApp app: FirebaseApp) {
        self.app = app
        super.init()
    }

    func getToken(completion handler: @escaping (AppCheckToken?, Error?) -> Void) {
        DispatchQueue.main.async {
            // Logic to exchange proof of authenticity for an App Check token.
            // ...

            // Create AppCheckToken object.
            let exp = Date(timeIntervalSince1970: expirationFromServer)
            let token = AppCheckToken(
                token: tokenFromServer,
                expirationDate: exp
            )

            // Pass the token or error to the completion handler.
            handler(token, nil)
        }
    }
}

Цель-C

@interface YourCustomAppCheckProvider : NSObject <FIRAppCheckProvider>

@property FIRApp *app;

- (id)initWithApp:(FIRApp *)app;

@end

@implementation YourCustomAppCheckProvider

- (id)initWithApp:app {
    self = [super init];
    if (self) {
        self.app = app;
    }
    return self;
}

- (void)getTokenWithCompletion:(nonnull void (^)(FIRAppCheckToken * _Nullable,
                                                 NSError * _Nullable))handler {
    dispatch_async(dispatch_get_main_queue(), ^{
        // Logic to exchange proof of authenticity for an App Check token.
        // ...

        // Create FIRAppCheckToken object.
        NSTimeInterval exp = expirationFromServer;
        FIRAppCheckToken *token
            = [[FIRAppCheckToken alloc] initWithToken:tokenFromServer
                                       expirationDate:[NSDate dateWithTimeIntervalSince1970:exp]];

        // Pass the token or error to the completion handler.
        handler(token, nil);
    });
}

@end

Кроме того, реализуйте класс AppCheckProviderFactory , который создает экземпляры вашей реализации AppCheckProvider :

Быстрый

class YourCustomAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return YourCustomAppCheckProvider(withFirebaseApp: app)
  }
}

Цель-C

@interface YourCustomAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourCustomAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(FIRApp *)app {
    return [[YourCustomAppCheckProvider alloc] initWithApp:app];
}

@end

3. Инициализировать проверку приложений

Добавьте следующий код инициализации в делегат приложения или инициализатор приложения:

Быстрый

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

Цель-C

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

После того, как библиотека App Check будет установлена ​​в вашем приложении, начните распространять обновленное приложение среди своих пользователей.

Обновленное клиентское приложение начнет отправлять токены проверки приложений вместе с каждым запросом, который он отправляет в Firebase, но продукты Firebase не будут требовать, чтобы токены были действительными, пока вы не включите принудительное применение в разделе «Проверка приложений» консоли Firebase. Дополнительные сведения см. в следующих двух разделах.

4. Отслеживайте метрики запросов

Теперь, когда ваше обновленное приложение находится в руках пользователей, вы можете включить принудительную проверку приложений для продуктов Firebase, которые вы используете. Однако прежде чем вы это сделаете, вы должны убедиться, что это не нарушит работу ваших существующих законных пользователей.

База данных в реальном времени, облачное хранилище Firestore и облачное хранилище

Важным инструментом, который вы можете использовать для принятия этого решения для базы данных реального времени, облачного хранилища Firestore и облачного хранилища, является экран метрик запроса App Check.

Чтобы просмотреть показатели запроса проверки приложений для продукта, откройте раздел « Настройки проекта» > «Проверка приложений » в консоли Firebase. Например:

Скриншот страницы метрик App Check

Метрики запросов для каждого продукта разбиты на четыре категории:

  • Подтвержденные запросы — это те, которые имеют действительный токен проверки приложения. После включения принудительной проверки приложений только запросы в этой категории будут успешными.

  • Устаревшие клиентские запросы — это те, в которых отсутствует токен проверки приложений. Эти запросы могут исходить от более старой версии Firebase SDK до того, как проверка приложений была включена в приложение.

  • Запросы неизвестного происхождения — это запросы, в которых отсутствует токен проверки приложений, и они не выглядят так, как будто они исходят из Firebase SDK. Это могут быть запросы, сделанные с украденными ключами API, или поддельные запросы, сделанные без Firebase SDK.

  • Недопустимые запросы — это запросы с недопустимым токеном проверки приложения, который может исходить от неаутентичного клиента, пытающегося выдать себя за ваше приложение, или от эмулируемых сред.

Распределение этих категорий для вашего приложения должно сообщить, когда вы решите включить принудительное применение. Вот несколько рекомендаций:

  • Если почти все недавние запросы исходят от проверенных клиентов, рассмотрите возможность включения принудительного применения, чтобы начать защищать ваши серверные ресурсы.

  • Если значительная часть недавних запросов исходит от устаревших клиентов, чтобы не мешать пользователям, подождите, пока другие пользователи обновят ваше приложение, прежде чем включать принудительное применение. Принудительная проверка приложений для выпущенного приложения нарушит работу предыдущих версий приложения, которые не интегрированы с SDK проверки приложений.

  • Если ваше приложение еще не запущено, вам следует немедленно включить принудительную проверку приложений, поскольку устаревшие клиенты не используются.

Облачные функции

Для облачных функций вы можете получить метрики проверки приложений, изучив журналы своих функций. При каждом вызове вызываемой функции создается структурированная запись в журнале, как в следующем примере:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Вы можете проанализировать эти метрики в Google Cloud Console, создав метрику счетчика на основе журналов со следующим фильтром метрик:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Пометьте метрику , используя поле jsonPayload.verifications.appCheck .

5. Включить правоприменение

Чтобы включить принудительное применение, следуйте приведенным ниже инструкциям для каждого продукта. После включения принудительного применения для продукта все неподтвержденные запросы к этому продукту будут отклонены.

База данных в реальном времени, облачное хранилище Firestore и облачное хранилище

Чтобы включить принудительное применение базы данных в реальном времени, Cloud Firestore (iOS и Android) и облачного хранилища:

  1. Откройте раздел « Настройки проекта» > «Проверка приложений » в консоли Firebase.

  2. Разверните представление показателей продукта, для которого вы хотите включить принудительное применение.

  3. Нажмите Принудительно и подтвердите свой выбор.

Обратите внимание, что после включения принудительного применения может пройти до 10 минут, прежде чем оно вступит в силу.

Облачные функции

См. раздел Включение принудительной проверки приложений для облачных функций .