Se usó la API de Cloud Translation para traducir esta página.

Verificación de aplicaciones de Firebase para plataformas de Apple

1. Introducción

La Verificación de aplicaciones de Firebase ayuda a proteger tus recursos de backend contra los abusos, como el fraude de facturación y la suplantación de identidad (phishing), ya que garantiza que las solicitudes provengan de apps y dispositivos legítimos. Funciona con servicios de Firebase y tus propios servicios de backend para mantener tus recursos seguros.

Puedes obtener más información sobre la Verificación de aplicaciones de Firebase en la documentación de Firebase.

La Verificación de aplicaciones usa servicios específicos de la plataforma para verificar la integridad de una app o dispositivo. Estos servicios se denominan proveedores de certificación. Uno de esos proveedores es el servicio App Attest de Apple, que la Verificación de aplicaciones puede usar para verificar la autenticidad de las apps y los dispositivos de Apple.

Qué compilarás

En este codelab, agregarás y aplicarás la Verificación de aplicaciones en una aplicación de ejemplo existente para que Realtime Database esté protegido contra el acceso de apps y dispositivos ilegítimos.

Qué aprenderás

Cómo agregar la Verificación de aplicaciones de Firebase a una app existente
Cómo instalar diferentes proveedores de certificación de la Verificación de aplicaciones de Firebase
Cómo configurar App Attest en tu app
Cómo configurar el proveedor de certificación de depuración para probar tu app en simuladores durante el desarrollo de la app

Requisitos

Xcode 13.3.1 o una versión posterior
Una cuenta de desarrollador de Apple que te permita crear nuevos identificadores de apps
Un dispositivo iOS o iPadOS compatible con App Attest (obtén más información sobre la disponibilidad de la API de App Attest)

2. Obtén el proyecto inicial

El repositorio de guías de inicio rápido de Firebase para iOS contiene apps de ejemplo que muestran diferentes productos de Firebase. En este codelab, usarás la app de inicio rápido de Firebase Database para SwiftUI como base.

Clona el repositorio de guías de inicio rápido de Firebase para iOS desde la línea de comandos:

git clone https://github.com/firebase/quickstart-ios.git
cd quickstart-ios

Abre el proyecto de la app de inicio rápido de SwiftUI para Realtime Database en Xcode:

cd database/DatabaseExampleSwiftUI/DatabaseExample
xed .

3. Agregue la Verificación de aplicaciones a la aplicación

Espera a que Swift Package Manager resuelva las dependencias del proyecto.
Abre la pestaña General de la app de destino DatabaseExample (iOS). Luego, en la sección Frameworks, Libraries y Embedded Content, haz clic en el botón +.
Selecciona la opción para agregar FirebaseAppCheck.

4. Crea e instala la configuración de fábrica del proveedor de la Verificación de aplicaciones

En el grupo de archivos Shared, agrega un grupo nuevo llamado AppCheck.

Dentro de este grupo, crea una clase de fábrica en un archivo independiente, p.ej., MyAppCheckProviderFactory.swift, y asegúrate de agregarla al destino DatabaseExample (iOS):

import Firebase

class MyAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    #if targetEnvironment(simulator)
      // App Attest is not available on simulators.
      // Use a debug provider.
      return AppCheckDebugProvider(app: app)
    #else
      // Use App Attest provider on real devices.
      return AppAttestProvider(app: app)
    #endif
  }
}

A continuación, en DatabaseExampleApp.swift, asegúrate de importar FirebaseAppCheck y establece una instancia de la clase MyAppCheckProviderFactory como fábrica del proveedor de la Verificación de aplicaciones.

import SwiftUI
import FirebaseCore
import FirebaseAppCheck

@main
struct DatabaseExampleApp: App {
  init() {
    // Set an instance of MyAppCheckProviderFactory as an App Check
    // provider factory before configuring Firebase.
    AppCheck.setAppCheckProviderFactory(MyAppCheckProviderFactory())
    FirebaseApp.configure()
  }
  ...
}

5. Crea y configura un proyecto de Firebase

Para usar la Verificación de aplicaciones en tu proyecto de iOS, sigue estos pasos en Firebase console:

Configura un proyecto de Firebase.
Agrega tu app para iOS al proyecto de Firebase.
Configurar Firebase Authentication
Inicializa la instancia de Realtime Database que protegerás.
Configura la Verificación de aplicaciones.

Crea un proyecto

Primero, debes crear un proyecto de Firebase.

En Firebase console, selecciona Agregar proyecto.
Asigna el nombre App Check Codelab al proyecto.
Haz clic en Continuar.
Inhabilita Google Analytics para este proyecto y, luego, haz clic en Crear proyecto.

Crea una instancia de Realtime Database

Ve a la sección Realtime Database de Firebase console.

Haz clic en el botón Crear base de datos para iniciar el flujo de trabajo de creación de la base de datos.
No modifiques la ubicación predeterminada (us-central1) de la base de datos y haz clic en Next.
Asegúrate de que la opción Modo bloqueado esté seleccionada y haz clic en el botón Habilitar para habilitar las reglas de seguridad de tu base de datos.

Navega a la pestaña Reglas del navegador de Realtime Database y reemplaza las reglas predeterminadas por lo siguiente:

{
    "rules": {
        // User profiles are only readable/writable by the user who owns it
        "users": {
            "$UID": {
                ".read": "auth.uid == $UID",
                ".write": "auth.uid == $UID"
            }
        },
        // Posts can be read by anyone but only written by logged-in users.
        "posts": {
            ".read": true,
            ".write": "auth.uid != null",
            "$POSTID": {
                // UID must match logged in user and is fixed once set
                "uid": {
                    ".validate": "(data.exists() && data.val() == newData.val()) || newData.val() == auth.uid"
                },
                // User can only update own stars
                "stars": {
                    "$UID": {
                        ".validate": "auth.uid == $UID"
                    }
                }
            }
        },
        // User posts can be read by anyone but only written by the user that owns it,
        // and with a matching UID
        "user-posts": {
            ".read": true,
            "$UID": {
                "$POSTID": {
                    ".write": "auth.uid == $UID",
                    ".validate": "data.exists() || newData.child('uid').val() == auth.uid"
                }
            }
        },
        // Comments can be read by anyone but only written by a logged in user
        "post-comments": {
            ".read": true,
            ".write": "auth.uid != null",
            "$POSTID": {
                "$COMMENTID": {
                    // UID must match logged in user and is fixed once set
                    "uid": {
                        ".validate": "(data.exists() && data.val() == newData.val()) || newData.val() == auth.uid"
                    }
                }
            }
        }
    }
}

Haz clic en el botón Publicar para activar las reglas de seguridad actualizadas.

Prepara tu app para iOS a fin de conectarla a Firebase

Para poder ejecutar la app de ejemplo en un dispositivo físico, debes agregar el proyecto a tu equipo de desarrollo para que Xcode pueda administrar el perfil de aprovisionamiento requerido por ti. Sigue estos pasos para agregar la app de ejemplo a tu cuenta de desarrollador:

En Xcode, selecciona el proyecto DatabaseExample en el navegador de proyectos.
Selecciona el objetivo DatabaseExample (iOS) y abre la pestaña Signing & Capabilities.
Deberías ver un mensaje de error que dice "Signing for DatabaseExample (iOS) needs a Development team".
Actualiza el identificador de paquete a un identificador único. La forma más fácil de lograrlo es con el nombre de dominio inverso de tu sitio web, por ejemplo, com.acme.samples.firebase.quickstart.DatabaseExample (no uses este ID; elige tu ID único).
Selecciona tu equipo de desarrollo.
Sabrás que todo salió bien cuando Xcode muestre el mensaje “Provisioning Profile: Xcode Managed Profile” y un ícono pequeño de información junto a la etiqueta. Si haces clic en este ícono, se mostrarán más detalles sobre el perfil de aprovisionamiento.

Conecta tu app para iOS

Para obtener una explicación detallada de cómo conectar tu app, consulta la documentación sobre cómo agregar Firebase a tu proyecto de iOS. Para comenzar, sigue estos pasos principales en Firebase console:

En la pantalla Descripción general del proyecto de tu proyecto nuevo, haz clic en el botón + Agregar app y, luego, en el ícono de iOS+ para agregar una app para iOS nueva a tu proyecto de Firebase.
Ingresa el ID del paquete de tu app (usa el que definiste en la sección anterior, como com.acme.samples.firebase.quickstart.DatabaseExample; ten en cuenta que este debe ser un identificador único)
Haga clic en Registrar app.
Firebase genera un archivo GoogleService-Info.plist que contiene todos los metadatos necesarios de Firebase para la app.
Haz clic en Descargar GoogleService-Info.plist para descargar el archivo.
En Xcode, verás que el proyecto ya contiene un archivo llamado GoogleService-Info.plist. Primero, borra este archivo. Lo reemplazarás con el de tu proyecto de Firebase en el paso siguiente.
Copia el archivo GoogleService-Info.plist que descargaste en el paso anterior en la carpeta raíz de tu proyecto de Xcode, agrégalo al destino DatabaseExample (iOS) y asegúrate de que se llame GoogleService-Info.plist.
Haz clic para avanzar por los pasos restantes del flujo de registro. Dado que el proyecto de muestra ya está configurado correctamente, no es necesario que realices ningún cambio en el código.

Configure Firebase Authentication

¡Vaya! Esa es una configuración bastante pequeña por ahora, pero espera. Si eres nuevo en Firebase, conoces partes fundamentales de un flujo de trabajo con las que pronto conocerás.

Ahora, configurarás Firebase Authentication para esta app.

En Firebase console, abre la sección Authentication de la consola.
Haz clic en Comenzar para configurar Firebase Authentication en el proyecto.
Selecciona la pestaña Método de acceso.
Selecciona Correo electrónico/Contraseña en la sección Proveedores nativos.
Habilita Correo electrónico/Contraseña y haz clic en Guardar.

Agrega un usuario de prueba

Abre la pestaña Usuarios de la sección Autenticación.
Haz clic en Agregar usuario.
Especifica un correo electrónico y una contraseña para el usuario de prueba y, luego, haz clic en Agregar usuario.

Prueba la app

Regresa a Xcode y ejecuta la aplicación en el simulador de iOS. Accede con el correo electrónico y la contraseña del usuario de prueba que acabas de crear. Una vez que hayas accedido, crea una publicación, publica un comentario en una publicación existente y destaca o deja de destacar las publicaciones.

6. Configura un proveedor de certificación de App Attest

En este paso, configurarás la Verificación de aplicaciones para que use el proveedor de App Attest en Firebase console.

En Firebase console, navega a la sección Verificación de aplicaciones de la consola.
Haz clic en Comenzar.
En la pestaña Apps, haz clic en tu app para expandir los detalles.
Haz clic en App Attest para configurar App Attest y, luego, ingresa el ID de equipo de tu cuenta de desarrollador de Apple (puedes encontrarlo en la sección Membership del portal para desarrolladores de Apple):
Haz clic en Guardar.

Con esto, tienes un proyecto de Firebase funcional que está conectado a nuestra nueva app y la Verificación de aplicaciones está habilitada.

Ya puedes configurar nuestro servicio de certificación específico. Para obtener más información sobre este flujo de trabajo, consulta Habilita la Verificación de aplicaciones mediante App Attest en iOS.

7. Configura App Attest para tu aplicación

Ahora es momento de probar el SDK de Verificación de aplicaciones de Firebase para implementar código de cliente.

Primero, debes configurar el proyecto de Xcode para que el SDK pueda usar la API de App Attest de Apple y garantizar que las solicitudes enviadas desde tu app provengan de instancias legítimas de esta.

Agrega la función App Attest al destino de tu app en el proyecto de Xcode:
Abre la pestaña Signing & Capabilities en la configuración de segmentación de tu app.
Haz clic en el botón “+”.
En el diálogo, busca y selecciona la función App Attest .
Después de realizar el paso anterior, aparecerá un archivo DatabaseExample (iOS).entitlements en la carpeta raíz de tu proyecto de Xcode.
En el archivo DatabaseExample (iOS).entitlements, cambia el valor de la clave App Attest Environment a production..

Cuando termines estos pasos y, luego, inicies la app en un dispositivo iOS físico (iPhone o iPad), la app podrá acceder a Realtime Database. En un paso posterior, aplicarás la Verificación de aplicaciones, que bloqueará las solicitudes que se envíen desde apps y dispositivos ilegítimos.

Para obtener más información sobre este flujo de trabajo, consulta Habilita la Verificación de aplicaciones mediante App Attest en iOS.

8. Cómo configurar un proveedor de certificación de depuración para el simulador de iOS

El proveedor de Depuración de la Verificación de aplicaciones de Firebase permite probar aplicaciones con la aplicación forzosa de la Verificación de aplicaciones de Firebase en entornos que no son de confianza, incluido el simulador de iOS, durante el proceso de desarrollo. A continuación, debes configurar el proveedor de depuración en conjunto.

Cómo instalar el proveedor de depuración de Firebase en tu aplicación

Opción 1: Crea condicionalmente una instancia del proveedor de depuración en tu fábrica

La mayor parte del proceso hiciste cuando creaste la fábrica del proveedor de la Verificación de aplicaciones. En este paso, agregarás registros del secreto de depuración local generado por el proveedor de depuración para que puedas registrar esta instancia de la app en Firebase console con fines de depuración.

Actualiza MyAppCheckProviderFactory.swift con el siguiente código:

import Firebase

class MyAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
#if targetEnvironment(simulator)
    // App Attest is not available on simulators.
    // Use a debug provider.
    let provider = AppCheckDebugProvider(app: app)

    // Print only locally generated token to avoid a valid token leak on CI.
    print("Firebase App Check debug token: \(provider?.localDebugToken() ?? "" )")

    return provider
#else
    // Use App Attest provider on real devices.
    return AppAttestProvider(app: app)
#endif
  }
}

Este enfoque nos brinda más flexibilidad para configurar la Verificación de aplicaciones en función del entorno. Por ejemplo, puedes usar otros proveedores de certificación, como DeviceCheck, o un proveedor de certificación personalizado en versiones de SO en las que App Attest no está disponible. Consulta el ejemplo siguiente:

import Firebase

class MyAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
      #if targetEnvironment(simulator)
      // App Attest is not available on simulators.
      // Use a debug provider.
      let provider = AppCheckDebugProvider(app: app)

      // Print only locally generated token to avoid a valid token leak on CI.
      print("Firebase App Check debug token: \(provider?.localDebugToken() ?? "" )")

      return provider
      #else
      if #available(iOS 14.0, *) {
        // Use App Attest provider on real devices.
        return AppAttestProvider(app: app)
      } else {
        return DeviceCheckProvider(app: app)
      }
      #endif
  }
}

Opción 2: Instala `AppCheckDebugProviderFactory`

En casos más simples, puedes instalar AppCheckDebugProviderFactory de manera temporal o condicional antes de configurar la instancia de la aplicación de Firebase:

init() {
#if targetEnvironment(simulator)
  let providerFactory = AppCheckDebugProviderFactory()
#else
  let providerFactory = MyAppCheckProviderFactory()
#endif

  AppCheck.setAppCheckProviderFactory(providerFactory)

  FirebaseApp.configure()
}

Esto ahorrará algunas líneas de código cuando crees tu propia fábrica del proveedor de la Verificación de aplicaciones.

Registra tu secreto de depuración en Firebase console

Obtén el secreto de depuración de tu simulador de iOS

Si elegiste instalar AppCheckDebugProviderFactory (opción 2 anterior), debes habilitar el registro de depuración para tu app agregando -FIRDebugEnabled a los argumentos de inicio de la app:
Cómo ejecutar tu app en un simulador
Busca el secreto de depuración en la consola de Xcode. Puedes usar el filtro de la consola para encontrarla más rápido:

Nota: El secreto de depuración se genera para tu simulador en el primer inicio de la app y se almacena en los valores predeterminados del usuario. Si quitas la app, restableces el simulador o usas otro, se generará un secreto de depuración nuevo. Asegúrate de registrar el nuevo secreto de depuración.

Registra el secreto de depuración

En la consola de Firevbase, vaya a la sección Verificación de aplicaciones.
En la pestaña Apps, haz clic en tu app para expandir los detalles.
En el menú ampliado, selecciona Manage debug tokens: .
Agrega el secreto que copiaste de la consola de Xcode y, luego, haz clic en Save .

Después de estos pasos, puedes usar la app en el simulador, incluso con la Verificación de aplicaciones aplicada.

Nota: El proveedor de depuración se diseñó específicamente para evitar las filtraciones de secretos de depuración. Con el enfoque actual, no necesitas almacenar el secreto de depuración en tu código fuente.

Puedes encontrar más detalles sobre este flujo en la documentación. Consulta Usa la Verificación de aplicaciones mediante el proveedor de depuración en iOS.

9. Habilita la aplicación forzosa de la Verificación de aplicaciones para Firebase Realtime Database

Por ahora, nuestra app declara un AppCheckProviderFactory que muestra un AppAttestProvider para dispositivos reales. Si se ejecuta en un dispositivo físico, tu app realizará la certificación y enviará los resultados al backend de Firebase. Sin embargo, el backend de Firebase sigue aceptando solicitudes de cualquier dispositivo, como el simulador de iOS, una secuencia de comandos, etc. Este modo es útil cuando aún tienes usuarios con una versión anterior de la app sin la Verificación de aplicaciones y aún no quieres aplicar de manera forzosa las verificaciones de acceso.

Ahora, debes habilitar la aplicación forzosa de la Verificación de aplicaciones para asegurarte de que solo se pueda acceder a la app de Firebase desde dispositivos legítimos. Las versiones anteriores de la app sin la integración de la Verificación de aplicaciones dejarán de funcionar una vez que habilites la aplicación forzosa para el proyecto de Firebase.

Precaución: En el caso de una aplicación activa con usuarios existentes, no debes habilitar la aplicación forzosa, a menos que estés seguro de que los usuarios migraron a la nueva versión de la app que puede aprobar la certificación de la Verificación de aplicaciones. Todos los usuarios reales que usen tu app antigua sin la Verificación de aplicaciones integrada perderán el acceso a Realtime Database, incluso si la usan desde dispositivos legítimos.

Para que la transición sea fluida para tus usuarios, por lo general, debes lanzar la app integrada con la Verificación de aplicaciones con anticipación y mantener el proyecto de Firebase sin aplicar por un tiempo. Las métricas de solicitudes de la Verificación de aplicaciones disponibles en Firebase console pueden ayudarte a decidir cuándo es el momento adecuado para habilitar la aplicación forzosa.

En la sección Verificación de aplicaciones de Firebase console, haz clic en Realtime Database para expandir los detalles.
Haz clic en Aplicar.

Lee la información en el diálogo de confirmación y, luego, haz clic en Aplicar.

Después de completar estos pasos, solo las apps legítimas podrán acceder a la base de datos. Se bloquearán las demás apps.

Intenta acceder a Realtime Database con una app ilegítima

Para ver la aplicación forzosa de la Verificación de aplicaciones en acción, sigue estos pasos:

Para desactivar el registro de la Verificación de aplicaciones, comenta el código de registro de la Verificación de aplicaciones en el método init del punto de entrada de la aplicación en DatabaseExampleApp.
Para restablecer el simulador, selecciona Dispositivo > Borrar todo el contenido y la configuración. Esta acción limpiará el simulador (y, además, invalidará el token de dispositivo).
Vuelve a ejecutar la app en el simulador.

Ahora deberías ver el siguiente mensaje de error:

[FirebaseDatabase][I-RDB034005] Firebase Database connection was forcefully killed by the server.  Will not attempt reconnect. Reason: Invalid appcheck token.

Para volver a habilitar la Verificación de aplicaciones, haz lo siguiente:

Quita el comentario del código de registro de la Verificación de aplicaciones en DatabaseExampleApp.
Reinicia la app.
Toma nota del nuevo token de la Verificación de aplicaciones en la consola de Xcode.
Registra el token de depuración en la configuración de la Verificación de aplicaciones en Firebase console.
Vuelve a ejecutar la app.
Ya no deberías ver un mensaje de error, y deberías poder agregar publicaciones y comentarios nuevos en la app.

10. ¡Felicitaciones!

Ahora ya sabes cómo hacer lo siguiente:

Agrega la Verificación de aplicaciones a un proyecto existente
Configura un proveedor de certificación de App Attest para la versión de producción de tu app
Configura un proveedor de certificación de depuración para probar tu app en un simulador
Observa el lanzamiento de la versión de la app para saber cuándo aplicar la Verificación de aplicaciones en tu proyecto de Firebase
Habilita la aplicación forzosa de la Verificación de aplicaciones

Próximos pasos

Aprende a usar Remote Config para lanzar gradualmente la Verificación de aplicaciones a tus usuarios en el codelab Cómo realizar un lanzamiento gradual de la Verificación de aplicaciones de Firebase con Firebase Remote Config.

Estos son otros recursos que pueden resultarte útiles

La configuración que se describe en este codelab funcionará en la mayoría de los casos, pero la Verificación de aplicaciones te brinda más flexibilidad si es necesario. Consulta los siguientes vínculos para obtener más detalles: