Ochrona danych logowania aplikacji Firebase ML na Androida w chmurze

Jeśli Twoja aplikacja na Androida korzysta z jednego z interfejsów API w chmurze Firebase ML, przed udostępnieniem jej w wersji produkcyjnej podejmij dodatkowe działania, które uniemożliwią nieautoryzowany dostęp przez interfejs API.

W przypadku aplikacji produkcyjnych musisz zadbać o to, aby tylko uwierzytelnieni klienci mieli dostęp do usług w chmurze. (Pamiętaj, że uwierzytelnianie za pomocą opisanej metody jest możliwe tylko na urządzeniach bez dostępu do roota).

Następnie utworzysz klucz interfejsu API tylko do debugowania, którego możesz wygodnie używać podczas testowania i programowania.

1. Rejestrowanie aplikacji produkcyjnych w Firebase

Najpierw zarejestruj aplikacje produkcyjne w Firebase.

  1. Upewnij się, że masz podpisy SHA-1 aplikacji. Aby dowiedzieć się, jak to zrobić, przeczytaj artykuł Uwierzytelnianie klienta.

  2. Otwórz Ustawienia projektuFirebase konsoli, a następnie wybierz kartę Ustawienia.

  3. Przewiń w dół do karty Twoje aplikacje, a potem wybierz aplikację na Androida.

  4. Dodaj podpis SHA-1 aplikacji do informacji o niej.

2. Ograniczanie zakresu kluczy interfejsu API

Następnie skonfiguruj istniejące klucze interfejsu API, aby zablokować dostęp do interfejsu Cloud Vision API:

  1. Otwórz stronę Dane logowania w konsoli Google Cloud. Gdy pojawi się prośba, wybierz projekt.

  2. Otwórz widok edycji każdego klucza API na liście.

  3. W sekcji Ograniczenia interfejsów API wybierz Ogranicz klucz, a następnie dodaj do listy wszystkie interfejsy API, do których klucz ma mieć dostęp. Pamiętaj, aby nie uwzględniać interfejsu Cloud Vision API.

    Konfigurując ograniczenia interfejsów API klucza interfejsu API, wyraźnie deklarujesz interfejsy API, do których klucz ma dostęp. Domyślnie, gdy w sekcji Ograniczenia interfejsów API jest wybrana opcja Nie ograniczaj klucza, klucz interfejsu API może być używany do uzyskiwania dostępu do dowolnego interfejsu API włączonego w projekcie.

Od tej pory istniejące klucze interfejsu API nie będą przyznawać dostępu do usług ML w chmurze, ale każdy klucz będzie nadal działać w przypadku interfejsów API, które zostały dodane do listy ograniczeń interfejsów API.

Pamiętaj, że jeśli w przyszłości włączysz dodatkowe interfejsy API, musisz dodać je do listy ograniczeń interfejsu API dla odpowiedniego klucza interfejsu API.

3. Tworzenie i używanie klucza interfejsu API tylko do debugowania

Na koniec utwórz nowy klucz interfejsu API, który będzie używany tylko na potrzeby programowania. Firebase ML może używać tego klucza interfejsu API, aby uzyskiwać dostęp do usług Google Cloud w środowiskach, w których uwierzytelnianie aplikacji jest niemożliwe, np. podczas działania na emulatorach.

  1. Utwórz nowy klucz interfejsu API, który będzie używany na potrzeby programowania:

    1. Otwórz stronę Dane logowania w konsoli Google Cloud. Gdy pojawi się prośba, wybierz projekt.

    2. Kliknij Utwórz dane logowania > Klucz interfejsu API i zanotuj nowy klucz interfejsu API. Ten klucz umożliwia dostęp do interfejsu API z nieuwierzytelnionych aplikacji, więc zachowaj go w tajemnicy.

  2. Aby mieć pewność, że nowy klucz interfejsu API debugowania nie wycieknie wraz z opublikowaną aplikacją, określ go w pliku manifestu Androida używanym tylko w przypadku kompilacji debugowania:

    1. Jeśli nie masz jeszcze manifestu debugowania, utwórz go, klikając Plik > Nowy > Inne > Plik manifestu Androida i wybierając debug z docelowych zestawów źródeł.

    2. W pliku manifestu debugowania dodaj tę deklarację:

      <application>
<meta-data
    android:name="com.firebase.ml.cloud.ApiKeyForDebug"
    android:value="your-debug-api-key" />
</application>

  3. W aplikacji skonfiguruj Firebase ML tak, aby w wersji produkcyjnej uwierzytelniać klienta za pomocą dopasowywania odcisków cyfrowych certyfikatów, a w wersjach debugowania używać tylko kluczy interfejsu API (klucza debugowania):

    KotlinJava 
    val optionsBuilder = FirebaseVisionCloudImageLabelerOptions.Builder()
if (!BuildConfig.DEBUG) {
    // Requires physical, non-rooted device:
    optionsBuilder.enforceCertFingerprintMatch()
}

// Set other options. For example:
optionsBuilder.setConfidenceThreshold(0.8f)
// ...

// And lastly:
val options = optionsBuilder.build()
FirebaseVision.getInstance().getCloudImageLabeler(options).processImage(myImage)
    MainActivity.kt
    FirebaseVisionCloudImageLabelerOptions.Builder optionsBuilder =
        new FirebaseVisionCloudImageLabelerOptions.Builder();
if (!BuildConfig.DEBUG) {
    // Requires physical, non-rooted device:
    optionsBuilder.enforceCertFingerprintMatch();
}

// Set other options. For example:
optionsBuilder.setConfidenceThreshold(0.8f);
// ...

// And lastly:
FirebaseVisionCloudImageLabelerOptions options = optionsBuilder.build();
FirebaseVision.getInstance().getCloudImageLabeler(options).processImage(myImage);
    MainActivity.java

Dalsze kroki

Informacje o przygotowaniu aplikacji do uruchomienia przy użyciu innych funkcji Firebase znajdziesz na liście kontrolnej uruchamiania.