Aktivieren Sie App Check mit DeviceCheck auf Apple-Plattformen

Auf dieser Seite erfahren Sie, wie Sie App Check in einer Apple-App mithilfe des integrierten DeviceCheck-Anbieters aktivieren. Wenn Sie App Check aktivieren, tragen Sie dazu bei, dass nur Ihre App auf die Firebase-Ressourcen Ihres Projekts zugreifen kann. Sehen Sie sich eine Übersicht über diese Funktion an.

Wenn Sie App Check mit Ihrem eigenen benutzerdefinierten Anbieter verwenden möchten, finden Sie weitere Informationen unter Implementieren eines benutzerdefinierten App Check-Anbieters .

1. Richten Sie Ihr Firebase-Projekt ein

  1. Fügen Sie Ihrem Apple-Projekt Firebase hinzu, falls Sie dies noch nicht getan haben.

  2. Erstellen Sie auf der Entwickler-Website von Apple einen privaten DeviceCheck-Schlüssel .

  3. Registrieren Sie Ihre Apps für die Verwendung von App Check beim DeviceCheck-Anbieter im Abschnitt „ App Check “ der Firebase-Konsole. Sie müssen den privaten Schlüssel angeben, den Sie im vorherigen Schritt erstellt haben.

    Normalerweise müssen Sie alle Apps Ihres Projekts registrieren, denn sobald Sie die Erzwingung für ein Firebase-Produkt aktivieren, können nur registrierte Apps auf die Back-End-Ressourcen des Produkts zugreifen.

  4. Optional : Legen Sie in den App-Registrierungseinstellungen eine benutzerdefinierte Gültigkeitsdauer (Time-to-Live, TTL) für vom Anbieter ausgestellte App Check-Token fest. Sie können die TTL auf einen beliebigen Wert zwischen 30 Minuten und 7 Tagen einstellen. Beachten Sie beim Ändern dieses Werts die folgenden Kompromisse:

    • Sicherheit: Kürzere TTLs bieten mehr Sicherheit, da sie das Fenster verkleinern, in dem ein durchgesickertes oder abgefangenes Token von einem Angreifer missbraucht werden kann.
    • Leistung: Kürzere TTLs bedeuten, dass Ihre App die Bestätigung häufiger durchführt. Da der App-Bestätigungsprozess bei jeder Ausführung Latenz für Netzwerkanforderungen hinzufügt, kann eine kurze TTL die Leistung Ihrer App beeinträchtigen.
    • Kontingent und Kosten: Kürzere TTLs und häufige Neubescheinigungen erschöpfen Ihr Kontingent schneller und kosten bei kostenpflichtigen Diensten möglicherweise mehr. Siehe Kontingente und Limits .

    Die Standard-TTL von 1 Stunde ist für die meisten Apps angemessen. Beachten Sie, dass die App Check-Bibliothek Token bei etwa der Hälfte der TTL-Dauer aktualisiert.

2. Fügen Sie Ihrer App die App Check-Bibliothek hinzu

  1. Fügen Sie die Abhängigkeit für App Check zum Podfile Ihres Projekts hinzu:

    pod 'FirebaseAppCheck'

    Alternativ können Sie stattdessen den Swift Package Manager verwenden.

    Stellen Sie sicher, dass Sie auch die neueste Version aller Firebase-Dienstclientbibliotheken verwenden, auf die Sie angewiesen sind.

  2. Führen Sie pod install aus und öffnen Sie die erstellte .xcworkspace -Datei.

Sobald die App Check-Bibliothek in Ihrer App installiert ist, beginnen Sie mit der Verteilung der aktualisierten App an Ihre Benutzer.

Die aktualisierte Client-App beginnt mit dem Senden von App-Check-Tokens zusammen mit jeder Anfrage, die sie an Firebase sendet, aber Firebase-Produkte verlangen nicht, dass die Tokens gültig sind, bis Sie die Erzwingung im Abschnitt „App-Check“ der Firebase-Konsole aktivieren. Einzelheiten finden Sie in den nächsten beiden Abschnitten.

3. Überwachen Sie Anforderungsmetriken

Jetzt, da Ihre aktualisierte App in den Händen der Benutzer ist, können Sie die Erzwingung von App Check für die von Ihnen verwendeten Firebase-Produkte aktivieren. Bevor Sie dies tun, sollten Sie jedoch sicherstellen, dass dadurch Ihre bestehenden legitimen Benutzer nicht gestört werden.

Echtzeitdatenbank, Cloud Firestore und Cloud Storage

Ein wichtiges Tool, das Sie verwenden können, um diese Entscheidung für Realtime Database, Cloud Firestore und Cloud Storage zu treffen, ist der Bildschirm „App Check Request Metrics“.

Um die App Check-Anfragemetriken für ein Produkt anzuzeigen, öffnen Sie den App Check- Abschnitt der Firebase-Konsole. Zum Beispiel:

Screenshot der Seite „App Check-Metriken“.

Die Anforderungsmetriken für jedes Produkt sind in vier Kategorien unterteilt:

  • Verifizierte Anfragen sind solche, die über ein gültiges App Check-Token verfügen. Nachdem Sie die App Check-Erzwingung aktiviert haben, sind nur Anfragen in dieser Kategorie erfolgreich.

  • Veraltete Clientanforderungen sind solche, denen ein App Check-Token fehlt. Diese Anfragen stammen möglicherweise von einer älteren Version des Firebase SDK, bevor App Check in die App aufgenommen wurde.

  • Unbekannte Ursprungsanfragen sind solche, denen ein App Check-Token fehlt und die nicht so aussehen, als kämen sie vom Firebase SDK. Diese können von Anfragen stammen, die mit gestohlenen API-Schlüsseln oder gefälschten Anfragen ohne das Firebase SDK gestellt wurden.

  • Ungültige Anforderungen sind solche mit einem ungültigen App Check-Token, das möglicherweise von einem nicht authentischen Client stammt, der versucht, sich als Ihre App auszugeben, oder von emulierten Umgebungen.

Die Verteilung dieser Kategorien für Ihre App sollte Aufschluss darüber geben, wann Sie sich entscheiden, die Erzwingung zu aktivieren. Hier sind einige Richtlinien:

  • Wenn fast alle der letzten Anfragen von verifizierten Clients stammen, sollten Sie erwägen, die Erzwingung zu aktivieren, um mit dem Schutz Ihrer Back-End-Ressourcen zu beginnen.

  • Wenn ein erheblicher Teil der letzten Anfragen von wahrscheinlich veralteten Clients stammt, sollten Sie warten, bis mehr Benutzer Ihre App aktualisieren, bevor Sie die Erzwingung aktivieren, um Benutzer nicht zu stören. Durch das Erzwingen von App Check für eine veröffentlichte App werden frühere App-Versionen beschädigt, die nicht in das App Check SDK integriert sind.

  • Wenn Ihre App noch nicht gestartet wurde, sollten Sie die App-Check-Erzwingung sofort aktivieren, da keine veralteten Clients verwendet werden.

Cloud-Funktionen

Für Cloud Functions können Sie App Check-Metriken abrufen, indem Sie die Protokolle Ihrer Funktionen untersuchen. Jeder Aufruf einer aufrufbaren Funktion gibt einen strukturierten Protokolleintrag wie im folgenden Beispiel aus:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Sie können diese Messwerte in der Google Cloud Console analysieren, indem Sie einen protokollbasierten Zählermesswert mit dem folgenden Messwertfilter erstellen:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Beschriften Sie die Metrik mit dem Feld jsonPayload.verifications.appCheck .

4. Erzwingung aktivieren

Befolgen Sie zum Aktivieren der Erzwingung die nachstehenden Anweisungen für jedes Produkt. Sobald Sie die Erzwingung für ein Produkt aktivieren, werden alle unbestätigten Anfragen an dieses Produkt abgelehnt.

Echtzeitdatenbank, Cloud Firestore und Cloud Storage

So aktivieren Sie die Erzwingung für Realtime Database, Cloud Firestore (iOS und Android) und Cloud Storage:

  1. Öffnen Sie den App Check- Bereich der Firebase-Konsole.

  2. Erweitern Sie die Metrikansicht des Produkts, für das Sie die Erzwingung aktivieren möchten.

  3. Klicken Sie auf Erzwingen und bestätigen Sie Ihre Auswahl.

Beachten Sie, dass es bis zu 15 Minuten dauern kann, nachdem Sie die Erzwingung aktiviert haben, bis sie wirksam wird.

Cloud-Funktionen

Siehe Durchsetzung der App-Prüfung für Cloud Functions aktivieren .

Nächste Schritte

Wenn Sie Ihre App nach der Registrierung für App Check in einer Umgebung ausführen möchten, die App Check normalerweise nicht als gültig einstufen würde, z. B. in einem Simulator während der Entwicklung oder in einer CI-Umgebung (Continuous Integration), können Sie dies tun Erstellen Sie einen Debug-Build Ihrer App, der den App Check-Debug-Anbieter anstelle eines echten Nachweisanbieters verwendet.

Siehe Verwenden von App Check mit dem Debug-Anbieter auf Apple-Plattformen .