在 Apple 平台上通過自定義提供商啟用 App Check

此頁面向您展示如何使用您的自定義 App Check 提供程序在 Apple 應用中啟用 App Check。當您啟用 App Check 時,您有助於確保只有您的應用可以訪問您項目的 Firebase 資源。

如果您想將 App Check 與內置提供程序一起使用,請參閱App Check with App AttestApp Check with DeviceCheck的文檔。

在你開始之前

1. 將 App Check 庫添加到您的應用中

  1. 將 App Check 的依賴項添加到項目的Podfile

    pod 'FirebaseAppCheck'

    或者,您也可以改用Swift 包管理器

    此外,請確保您使用的是您所依賴的任何 Firebase 服務客戶端庫的最新版本。

  2. 運行pod install並打開創建的.xcworkspace文件。

2. 實施 App Check 協議

首先,您需要創建實現AppCheckProviderAppCheckProviderFactory協議的類。

您的AppCheckProvider類必須有一個 getToken getToken(completion:)方法,該方法收集您的自定義 App Check 提供程序作為真實性證明所需的任何信息,並將其發送到您的令牌獲取服務以換取 App Check 令牌。 App Check SDK 處理令牌緩存,因此始終在您的getToken(completion:)實現中獲取新令牌。

迅速

class YourCustomAppCheckProvider: NSObject, AppCheckProvider {
    var app: FirebaseApp

    init(withFirebaseApp app: FirebaseApp) {
        self.app = app
        super.init()
    }

    func getToken(completion handler: @escaping (AppCheckToken?, Error?) -> Void) {
        DispatchQueue.main.async {
            // Logic to exchange proof of authenticity for an App Check token.
            // ...

            // Create AppCheckToken object.
            let exp = Date(timeIntervalSince1970: expirationFromServer)
            let token = AppCheckToken(
                token: tokenFromServer,
                expirationDate: exp
            )

            // Pass the token or error to the completion handler.
            handler(token, nil)
        }
    }
}

Objective-C

@interface YourCustomAppCheckProvider : NSObject <FIRAppCheckProvider>

@property FIRApp *app;

- (id)initWithApp:(FIRApp *)app;

@end

@implementation YourCustomAppCheckProvider

- (id)initWithApp:app {
    self = [super init];
    if (self) {
        self.app = app;
    }
    return self;
}

- (void)getTokenWithCompletion:(nonnull void (^)(FIRAppCheckToken * _Nullable,
                                                 NSError * _Nullable))handler {
    dispatch_async(dispatch_get_main_queue(), ^{
        // Logic to exchange proof of authenticity for an App Check token.
        // ...

        // Create FIRAppCheckToken object.
        NSTimeInterval exp = expirationFromServer;
        FIRAppCheckToken *token
            = [[FIRAppCheckToken alloc] initWithToken:tokenFromServer
                                       expirationDate:[NSDate dateWithTimeIntervalSince1970:exp]];

        // Pass the token or error to the completion handler.
        handler(token, nil);
    });
}

@end

此外,實現一個AppCheckProviderFactory類來創建您的AppCheckProvider實現的實例:

迅速

class YourCustomAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return YourCustomAppCheckProvider(withFirebaseApp: app)
  }
}

Objective-C

@interface YourCustomAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourCustomAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(FIRApp *)app {
    return [[YourCustomAppCheckProvider alloc] initWithApp:app];
}

@end

3.初始化應用檢查

將以下初始化代碼添加到您的應用委託或應用初始化程序:

迅速

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

Objective-C

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

在您的應用中安裝 App Check 庫後,開始將更新的應用分發給您的用戶。

更新後的客戶端應用將開始向 Firebase 發出的每個請求發送 App Check 令牌,但 Firebase 產品不需要令牌有效,直到您在 Firebase 控制台的 App Check 部分啟用強制執行。有關詳細信息,請參閱接下來的兩節。

4. 監控請求指標

現在您的更新應用已在用戶手中,您可以為您使用的 Firebase 產品啟用應用檢查。但是,在您這樣做之前,您應該確保這樣做不會破壞您現有的合法用戶。

實時數據庫、Cloud Firestore 和 Cloud Storage

您可以用來為實時數據庫、Cloud Firestore 和 Cloud Storage 做出此決定的一個重要工具是應用檢查請求指標屏幕。

要查看產品的 App Check 請求指標,請打開 Firebase 控制台的App Check部分。例如:

應用檢查指標頁面的屏幕截圖

每個產品的請求指標分為四類:

  • 已驗證的請求是那些具有有效 App Check 令牌的請求。啟用 App Check 強制執行後,只有此類別中的請求才會成功。

  • 過時的客戶端請求是那些缺少 App Check 令牌的請求。這些請求可能來自應用檢查未包含在應用中之前的舊版 Firebase SDK。

  • 未知來源請求是那些缺少應用檢查令牌的請求,它們看起來不像來自 Firebase SDK。這些請求可能來自使用被盜 API 密鑰發出的請求,也可能來自未使用 Firebase SDK 發出的偽造請求。

  • 無效請求是那些具有無效應用檢查令牌的請求,這些請求可能來自試圖模擬您的應用的不真實客戶端,或來自模擬環境。

當您決定啟用強制執行時,您的應用程序的這些類別的分佈應通知您。以下是一些指導方針:

  • 如果幾乎所有最近的請求都來自經過驗證的客戶端,請考慮啟用強制措施以開始保護您的後端資源。

  • 如果最近的請求中有很大一部分來自可能已過時的客戶端,為避免干擾用戶,請考慮等待更多用戶更新您的應用,然後再啟用強制執行。對已發布的應用程序強制執行應用程序檢查將破壞未與應用程序檢查 SDK 集成的先前應用程序版本。

  • 如果您的應用尚未啟動,您應該立即啟用應用檢查強制,因為沒有任何過時的客戶端在使用中。

雲函數

對於 Cloud Functions,您可以通過檢查函數的日誌來獲取 App Check 指標。每次調用可調用函數都會發出一個結構化日誌條目,如下例所示:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

您可以通過使用以下指標過濾器創建基於日誌的計數器指標,在 Google Cloud Console 中分析這些指標:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

使用字段jsonPayload.verifications.appCheck標記指標

5. 啟用強制執行

要啟用強制執行,請按照以下每種產品的說明進行操作。為產品啟用強制執行後,對該產品的所有未經驗證的請求都將被拒絕。

實時數據庫、Cloud Firestore 和 Cloud Storage

要為實時數據庫、Cloud Firestore(iOS 和 Android)和 Cloud Storage 啟用強制執行:

  1. 打開 Firebase 控制台的應用檢查部分。

  2. 展開您要為其啟用強制執行的產品的指標視圖。

  3. 單擊強制並確認您的選擇。

請注意,啟用強制實施後最多可能需要 15 分鐘才能生效。

雲函數

請參閱為 Cloud Functions 啟用應用檢查強制