本頁面說明如何使用內建的 DeviceCheck 提供者,在 Apple 應用程式中啟用 App Check。啟用 App Check 後,只有您的應用程式才能存取專案的 Firebase 資源。請參閱這項功能的總覽。
如要搭配使用 App Check 和自訂供應商,請參閱「實作自訂 App Check 供應商」。
1. 設定 Firebase 專案
如果您尚未將 Firebase 新增至 Apple 專案,請先新增。
在 Apple 開發人員網站上建立 DeviceCheck 私密金鑰。
在 Firebase 控制台的「App Check」部分,為應用程式註冊透過 DeviceCheck 供應商使用 App Check。您需要提供在上一個步驟中建立的私密金鑰。
您通常需要註冊專案的所有應用程式,因為一旦啟用 Firebase 產品的強制執行功能,只有已註冊的應用程式才能存取產品的後端資源。
選用:在應用程式註冊設定中,為供應商核發的 App Check 權杖設定自訂存留時間 (TTL)。您可以將 TTL 設定為介於 30 分鐘至 7 天之間的任何值。變更這個值時,請注意下列取捨:
- 安全性:存留時間越短,安全性就越高,因為這樣可縮短攻擊者濫用外洩或遭攔截權杖的時間範圍。
- 效能:TTL 較短表示應用程式會更頻繁地執行認證。應用程式認證程序每次執行時,都會增加網路要求延遲時間,因此 TTL 較短可能會影響應用程式效能。
- 配額和費用:TTL 較短且經常重新認證會更快耗盡配額,如果是付費服務,可能還會增加費用。詳情請參閱「配額與限制」。
大多數應用程式的預設 TTL 為 1 小時,請注意,App Check 程式庫會在 TTL 時間長度的一半左右重新整理權杖。
2. 將 App Check 程式庫新增至應用程式
將 App Check 的依附元件新增至專案的
Podfile:pod 'FirebaseAppCheck'
或者,您也可以改用 Swift Package Manager。
請務必使用最新版本的 Firebase 服務用戶端程式庫。
執行
pod install並開啟建立的.xcworkspace檔案。
後續步驟
在應用程式中安裝 App Check 程式庫後,即可開始向使用者發布更新版應用程式。
更新後的用戶端應用程式會開始在每次向 Firebase 發出的要求中,一併傳送 App Check 權杖,但您必須在 Firebase 控制台的「App Check」部分啟用強制執行功能,Firebase 產品才會要求權杖有效。
監控指標並啟用強制執行功能
不過,啟用強制執行前,請先確認這麼做不會影響現有的合法使用者。另一方面,如果發現應用程式資源遭到可疑使用,建議盡快啟用強制執行功能。
如要協助做出這項決定,您可以查看所用服務的 App Check 指標:
- 監控 App Check 要求指標,適用於 Firebase AI Logic、Data Connect、Realtime Database、Cloud Firestore、Cloud Storage、Authentication、適用於 iOS 的 Google Identity、Maps JavaScript API 和 Places API (新版)。
- 監控 App Check Cloud Functions 的要求指標。
啟用App Check強制執行功能
瞭解 App Check 對使用者的影響後,即可啟用 App Check 強制執行:
- 針對 Firebase AI Logic、Data Connect、Realtime Database、Cloud Firestore、Cloud Storage、Authentication、適用於 iOS 的 Google Identity、Maps JavaScript API 和 Places API (新版),啟用 App Check 強制執行。
- 為 Cloud Functions 啟用 App Check 強制執行功能。
在偵錯環境中使用 App Check
在註冊應用程式以使用 App Check 後,如果想在 App Check 通常不會歸類為有效的環境中執行應用程式,例如開發期間的模擬器,或是來自持續整合 (CI) 環境,您可以建立應用程式的偵錯版本,使用 App Check 偵錯供應器,而非實際的認證供應器。
請參閱「在 Apple 平台上使用 App Check 和偵錯供應商」。