本頁面說明如何使用內建的 DeviceCheck 提供者,在 Apple 應用程式中啟用 App Check。啟用 App Check 後,只有您的應用程式才能存取專案的 Firebase 資源。如需這項功能的總覽,請參閱這篇文章。
如要搭配使用 App Check 和自訂供應商,請參閱「實作自訂 App Check 供應商」。
1. 設定 Firebase 專案
如果您尚未將 Firebase 新增至 Apple 專案,請先新增。
在 Apple 開發人員網站上,建立 DeviceCheck 私密金鑰。
在「應用程式」分頁中,註冊應用程式以透過 DeviceCheck 供應商使用 App Check。您需要提供在 Apple 開發人員網站建立的私密金鑰。
您通常需要註冊專案的所有應用程式,因為一旦啟用 Firebase 產品的強制執行功能,只有已註冊的應用程式才能存取產品的後端資源。
選用:在應用程式註冊設定中,為供應商核發的 App Check 權杖設定自訂存留時間 (TTL)。您可以將 TTL 設定為介於 30 分鐘至 7 天之間的任何值。變更這個值時,請注意下列取捨:
- 安全性:較短的存留時間可提供更強大的安全性,因為這會縮短攻擊者濫用遭洩漏或攔截權杖的時間範圍。
- 效能:TTL 較短表示應用程式會更頻繁地執行認證。應用程式認證程序每次執行時,都會增加網路要求延遲時間,因此 TTL 較短可能會影響應用程式效能。
- 配額和費用:TTL 較短且經常重新認證會更快耗盡配額,而且對於付費服務來說,可能需要支付更多費用。請參閱「配額與限制」。
預設 TTL 為 1 小時,適用於大多數應用程式。請注意,App Check 程式庫會在 TTL 時間長度的一半左右重新整理權杖。
2. 將 App Check 程式庫新增至應用程式
使用 Swift Package Manager 安裝及管理 Firebase 依附元件。
在 Xcode 中保持應用程式專案開啟,然後依序點選「File」>「Add Packages」,新增 Firebase Apple 平台 SDK 存放區 (
https://github.com/firebase/firebase-ios-sdk),並選擇 FirebaseAppCheck 程式庫。
後續步驟
在應用程式中安裝 App Check 程式庫後,即可開始向使用者發布更新版應用程式。
更新後的用戶端應用程式會開始在每次向 Firebase 發出的要求中,一併傳送 App Check 權杖,但您必須在 Firebase 控制台的「App Check」部分啟用強制執行功能,Firebase 產品才會要求權杖有效。
監控指標並啟用強制執行功能
不過,啟用強制執行前,請先確認這麼做不會影響現有的合法使用者。另一方面,如果發現應用程式資源有可疑的使用情形,建議盡快啟用強制執行功能。
如要協助做出這項決定,您可以查看所用服務的 App Check 指標:
- 監控 App Check 要求的指標,適用於 Firebase AI Logic、SQL Connect、Realtime Database、Cloud Firestore、Cloud Storage、Authentication、適用於 iOS 的 Google Identity、Maps JavaScript API 和 Places API (新版)。
- 監控 Cloud Functions 的 App Check 要求指標。
啟用App Check違規處置功能
瞭解 App Check 對使用者的影響後,即可啟用 App Check 強制執行:
- 針對 Firebase AI Logic、SQL Connect、Realtime Database、Cloud Firestore、Cloud Storage、Authentication、Google Identity for iOS、Maps JavaScript API 和 Places API (新版),啟用 App Check 強制執行。
- 為 Cloud Functions 啟用 App Check 強制執行功能。
在偵錯環境中使用 App Check
如果您已為應用程式註冊 App Check,但想在通常不會將 App Check 分類為有效的環境中執行應用程式 (例如開發期間的模擬器,或來自持續整合 (CI) 環境),可以建立應用程式的偵錯版本,使用 App Check 偵錯供應器,而非實際的認證供應器。
請參閱「在 Apple 平台上搭配偵錯供應商使用 App Check」。