حماية بيانات اعتماد السحابة الإلكترونية لتطبيق Firebase ML Apple

إذا كان تطبيق Apple يستخدم إحدى واجهات برمجة التطبيقات السحابية الخاصة بـ Firebase ML، عليك اتّخاذ بعض الخطوات الإضافية قبل إطلاق تطبيقك في مرحلة الإنتاج لمنع الوصول غير المصرّح به إلى واجهة برمجة التطبيقات.

1. تقليل نطاق مفاتيح واجهة برمجة التطبيقات الحالية

أولاً، اضبط مفاتيح واجهة برمجة التطبيقات الحالية لرفض الوصول إلى Cloud Vision API باتّباع الخطوات التالية:

1. افتح صفحة بيانات الاعتماد في Google Cloud. اختَر مشروعك عندما يُطلب منك ذلك.

2. بالنسبة إلى كل مفتاح حالي لواجهة برمجة التطبيقات في القائمة، افتح طريقة عرض التعديل.

3. في قسم قيود واجهة برمجة التطبيقات، انقر على تقييد المفتاح، ثم أضِف إلى القائمة جميع واجهات برمجة التطبيقات التي تريد أن يتمكّن مفتاح واجهة برمجة التطبيقات من الوصول إليها. احرص على عدم تضمين Cloud Vision API.

   عند ضبط قيود واجهة برمجة التطبيقات لمفتاح واجهة برمجة التطبيقات، فإنّك تحدّد بشكل صريح واجهات برمجة التطبيقات التي يمكن للمفتاح الوصول إليها. تلقائيًا، عندما يكون الخيار عدم تقييد المفتاح محدّدًا في قسم قيود واجهة برمجة التطبيقات، يمكن استخدام مفتاح واجهة برمجة التطبيقات للوصول إلى أي واجهة برمجة تطبيقات مفعَّلة للمشروع.

لن تمنح مفاتيح واجهة برمجة التطبيقات الحالية إذن الوصول إلى خدمات تعلُّم الآلة على السحابة الإلكترونية، ولكن سيستمر عمل كل مفتاح مع أي واجهات برمجة تطبيقات أضفتها إلى قائمة قيود واجهة برمجة التطبيقات.

يُرجى العِلم أنّه في حال تفعيل أي واجهات برمجة تطبيقات إضافية في المستقبل، عليك إضافتها إلى قائمة القيود المفروضة على واجهة برمجة التطبيقات لمفتاح واجهة برمجة التطبيقات المعنيّ.

2- إنشاء مفتاح واجهة برمجة تطبيقات جديد لاستخدامه مع Firebase ML

بعد ذلك، أنشئ مفتاح واجهة برمجة تطبيقات جديدًا لـ Firebase ML لا يسمح إلا بإجراء طلبات إلى Cloud Vision API:

1. ارجع إلى صفحة بيانات الاعتماد. تأكَّد من أنّ مشروعك على Firebase لا يزال محدّدًا.

2. انقر على إنشاء بيانات اعتماد > مفتاح API. دوِّن مفتاح واجهة برمجة التطبيقات الجديد، ثم انقر على تقييد المفتاح.

3. في قسم قيود واجهة برمجة التطبيقات، انقر على فرض قيود على المفتاح، ثم أضِف فقط Cloud Vision API إلى القائمة.

يمنح مفتاح واجهة برمجة التطبيقات هذا إذن الوصول إلى Cloud Vision API فقط، ويمكن أن يستخدمه Firebase ML للوصول إلى النماذج المستندة إلى السحابة الإلكترونية.

3- إجراء يُنصح به: تقليل حصة Cloud Vision API

للمساعدة في الحدّ من عواقب اختراق المفتاح، عليك خفض حصة Cloud Vision API المخصّصة لكل مستخدم من الإعداد التلقائي. ولإجراء ذلك، يُرجى اتّباع الخطوات التالية:

1. افتح صفحة حصص Cloud Vision API في وحدة تحكّم Google Cloud. اختَر مشروعك عندما يُطلب منك ذلك.

2. في قسم الطلبات، اضبط حصة الطلبات في الدقيقة لكل مستخدم على قيمة معقولة لتطبيقك. على سبيل المثال، إذا كان تطبيقك يتضمّن تحميل صورة لمستند لاسترداد النص منه، من غير المحتمل أن ينفّذ المستخدم هذا الإجراء أكثر من مرة كل بضع ثوانٍ، لذا من المحتمل أن تكون الحصة البالغة 30 إلى 40 طلبًا آمنة.

   يُرجى العِلم أنّ "الطلبات لكل مستخدم" في هذا السياق تشير إلى الطلبات الواردة من عنوان IP واحد. قد تحتاج إلى أخذ ذلك في الاعتبار إذا كنت تتوقّع أن يستخدم العديد من المستخدمين تطبيقك في الوقت نفسه من خلال NAT.

4. استدعاء واجهات برمجة التطبيقات على السحابة الإلكترونية باستخدام مفتاح واجهة برمجة التطبيقات Firebase ML

أخيرًا، في تطبيقك، اضبط Firebase ML لاستخدام مفتاح واجهة برمجة التطبيقات الجديد.

بما أنّ مفتاح واجهة برمجة التطبيقات Firebase ML يتيح الوصول غير المصادق عليه إلى Cloud Vision API، من المهم الحفاظ على سرية المفتاح لمنع الاستخدام غير المصرَّح به والرسوم في حساب الفوترة. لإجراء ذلك، عليك تجنُّب تضمين مفتاح واجهة برمجة التطبيقات في البرنامج الثنائي لتطبيقك. بدلاً من ذلك، تحقَّق أثناء تشغيل التطبيق من أنّ مستخدمًا معروفًا وموثوقًا به قد سجّل الدخول، ثم استردِد مفتاح واجهة برمجة التطبيقات من الخادم.

حتى عند اتّباع هذه الممارسات، من المحتمل أن يتم اختراق مفتاح واجهة برمجة التطبيقات. عليك اتّخاذ خطوات للمساعدة في الحدّ من عواقب المفتاح المخترَق، مثل تقليل الحصة المخصّصة لكل مستخدم في واجهة برمجة التطبيقات كما هو موضّح أعلاه، وتنفيذ سياسات تغيير المفاتيح، وإصدار مفاتيح مختلفة لمجموعات مختلفة من المستخدمين.

بعد أن يحصل تطبيقك على مفتاح واجهة برمجة التطبيقات بشكل آمن، يمكنك تحديد المفتاح عند استدعاء إحدى Firebase ML واجهات Cloud API:

if let cloudVisionKey = getYourApiKey() {  // See note above about securing your API key
    let options = VisionCloudDetectorOptions()
    options.apiKeyOverride = cloudVisionKey
    let cloudDetector = Vision.vision().cloudLandmarkDetector(options: options)
}

NSString *cloudVisionKey = [self getYourApiKey];  // See note above about securing your API key
if (cloudVisionKey != nil) {
    FIRVisionCloudDetectorOptions *options =
            [[FIRVisionCloudDetectorOptions alloc] init];
    options.APIKeyOverride = cloudVisionKey;
    FIRVisionCloudLandmarkDetector *landmarkDetector =
            [vision cloudLandmarkDetectorWithOptions:options];
}

بالإضافة إلى ذلك، عليك اتّباع النصائح العامة الواردة في مقالة تأمين مفتاح واجهة برمجة التطبيقات.

الخطوات التالية

راجِع قائمة التحقّق من الإطلاق للحصول على معلومات حول إعداد تطبيقك للإطلاق عند استخدام ميزات Firebase الأخرى.