Firebase ML Android アプリの Cloud 認証情報を保護する

Android アプリが Firebase ML のクラウドベースの API のいずれかを使用している場合、本番環境でアプリをリリースする前に、不正な API アクセスを防ぐためにいくつかの追加手順を行う必要があります。

本番環境用のアプリでは、認証されたクライアントだけがクラウド サービスにアクセスできるようにします(説明された方法で認証できるのは root 権限が取得されていないデバイスのみであることに注意してください)。

次に、テストと開発の際に便宜上使用できるデバッグ専用の API キーを作成します。

1. Firebase で本番環境用アプリを登録する

まず、本番環境用アプリを Firebase に登録します。

  1. アプリの SHA-1 署名があることを確認します。方法については、クライアントの認証をご覧ください。

  2. Firebase コンソールの [] > [プロジェクトの設定] に移動し、[全般] タブを選択します。

  3. [マイアプリ] カードまで下にスクロールし、Android アプリを選択します。

  4. アプリの情報に SHA-1 署名を追加します。

2. API キーのスコープを制限する

次に、既存の API キーを構成して、Cloud Vision API へのアクセスを許可しないようにします。

  1. Google Cloud コンソールの [認証情報] ページを開きます。画面の指示に沿って、プロジェクトを選択します。

  2. リスト内にある既存の API キーごとに、編集ビューを開きます。

  3. [API の制限] セクションで [キーを制限] を選択し、API キーによるアクセスを許可するすべての API をリストに追加します。Cloud Vision API は含めないでください。

    API キーの API の制限を構成することで、キーがアクセス権を持つ API を明示的に宣言します。デフォルトでは、[API の制限] セクションで [キーを制限しない] が選択されている場合、API キーを使用してプロジェクトで有効になっているすべての API にアクセスできます。

これで、既存の API キーはクラウド ML サービスへのアクセスを許可しなくなりますが、各キーは、API の制限リストに追加したすべての API で引き続き機能します。

今後 API を追加で有効にする場合は、該当する API キーの API の制限リストにそれらを追加する必要があります。

3. デバッグ専用の API キーを作成して使用する

最後に、開発でのみ使用する新しい API キーを作成します。Firebase ML は、この API キーを使用して、アプリ認証が不可能な環境(エミュレータで実行しているときなど)で Google Cloud サービスにアクセスできます。

  1. 開発に使用する新しい API キーを作成します。

    1. Google Cloud コンソールの [認証情報] ページを開きます。画面の指示に沿って、プロジェクトを選択します。

    2. [認証情報を作成] > [API キー] をクリックし、新しい API キーをメモします。このキーによって、認証されていないアプリからの API アクセスが許可されるため、このキーは機密にしておいてください

  2. リリースされたアプリで新しいデバッグ用 API キーが漏洩しないようにするには、デバッグビルド専用の Android マニフェスト ファイルでデバッグ用 API キーを指定します。

    1. デバッグ マニフェストがまだない場合は、[ファイル] > [新規] > [その他] > [Android マニフェスト ファイル] をクリックし、ターゲットのソースセットから debug を選択して、デバッグ マニフェストを作成します。

    2. デバッグ マニフェストに次の宣言を追加します。

      <application>
      <meta-data
          android:name="com.firebase.ml.cloud.ApiKeyForDebug"
          android:value="your-debug-api-key" />
      </application>
      
  3. アプリの Firebase ML の設定で、証明書フィンガープリントのマッチングを使用して、本番環境でクライアントを認証し、API キー(デバッグキー)をデバッグビルドでのみ使用するように構成します。

    Kotlin+KTX

    val optionsBuilder = FirebaseVisionCloudImageLabelerOptions.Builder()
    if (!BuildConfig.DEBUG) {
        // Requires physical, non-rooted device:
        optionsBuilder.enforceCertFingerprintMatch()
    }
    
    // Set other options. For example:
    optionsBuilder.setConfidenceThreshold(0.8f)
    // ...
    
    // And lastly:
    val options = optionsBuilder.build()
    FirebaseVision.getInstance().getCloudImageLabeler(options).processImage(myImage)

    Java

    FirebaseVisionCloudImageLabelerOptions.Builder optionsBuilder =
            new FirebaseVisionCloudImageLabelerOptions.Builder();
    if (!BuildConfig.DEBUG) {
        // Requires physical, non-rooted device:
        optionsBuilder.enforceCertFingerprintMatch();
    }
    
    // Set other options. For example:
    optionsBuilder.setConfidenceThreshold(0.8f);
    // ...
    
    // And lastly:
    FirebaseVisionCloudImageLabelerOptions options = optionsBuilder.build();
    FirebaseVision.getInstance().getCloudImageLabeler(options).processImage(myImage);

次のステップ

他の Firebase 機能を使用している場合のアプリのリリース準備方法については、リリース チェックリストをご覧ください。