1. Introducción
La Verificación de aplicaciones de Firebase ayuda a proteger tus recursos de backend contra los abusos, como el fraude de facturación y la suplantación de identidad (phishing), ya que garantiza que las solicitudes provengan de apps y dispositivos legítimos. Funciona con servicios de Firebase y tus propios servicios de backend para mantener tus recursos seguros.
Puedes obtener más información sobre la Verificación de aplicaciones de Firebase en la documentación de Firebase.
La Verificación de aplicaciones usa servicios específicos de la plataforma para verificar la integridad de una app o dispositivo. Estos servicios se denominan proveedores de certificación. Uno de esos proveedores es el servicio App Attest de Apple, que la Verificación de aplicaciones puede usar para verificar la autenticidad de las apps y los dispositivos de Apple.
Qué compilarás
En este codelab, agregarás y aplicarás la Verificación de aplicaciones en una aplicación de ejemplo existente para que Realtime Database esté protegido contra el acceso de apps y dispositivos ilegítimos.
Qué aprenderás
- Cómo agregar la Verificación de aplicaciones de Firebase a una app existente
- Cómo instalar diferentes proveedores de certificación de la Verificación de aplicaciones de Firebase
- Cómo configurar App Attest en tu app
- Cómo configurar el proveedor de certificación de depuración para probar tu app en simuladores durante el desarrollo de la app
Requisitos
- Xcode 13.3.1 o una versión posterior
- Una cuenta de desarrollador de Apple que te permita crear nuevos identificadores de apps
- Un dispositivo iOS o iPadOS compatible con App Attest (obtén más información sobre la disponibilidad de la API de App Attest)
2. Obtén el proyecto inicial
El repositorio de guías de inicio rápido de Firebase para iOS contiene apps de ejemplo que muestran diferentes productos de Firebase. En este codelab, usarás la app de inicio rápido de Firebase Database para SwiftUI como base.
Clona el repositorio de guías de inicio rápido de Firebase para iOS desde la línea de comandos:
git clone https://github.com/firebase/quickstart-ios.git cd quickstart-ios
Abre el proyecto de la app de inicio rápido de SwiftUI para Realtime Database en Xcode:
cd database/DatabaseExampleSwiftUI/DatabaseExample xed .
3. Agregue la Verificación de aplicaciones a la aplicación
- Espera a que Swift Package Manager resuelva las dependencias del proyecto.
- Abre la pestaña General de la app de destino
DatabaseExample (iOS)
. Luego, en la sección Frameworks, Libraries y Embedded Content, haz clic en el botón +. - Selecciona la opción para agregar
FirebaseAppCheck
.
4. Crea e instala la configuración de fábrica del proveedor de la Verificación de aplicaciones
- En el grupo de archivos
Shared
, agrega un grupo nuevo llamadoAppCheck
. - Dentro de este grupo, crea una clase de fábrica en un archivo independiente, p.ej.,
MyAppCheckProviderFactory.swift
, y asegúrate de agregarla al destinoDatabaseExample (iOS)
:import Firebase class MyAppCheckProviderFactory: NSObject, AppCheckProviderFactory { func createProvider(with app: FirebaseApp) -> AppCheckProvider? { #if targetEnvironment(simulator) // App Attest is not available on simulators. // Use a debug provider. return AppCheckDebugProvider(app: app) #else // Use App Attest provider on real devices. return AppAttestProvider(app: app) #endif } }
- A continuación, en
DatabaseExampleApp.swift
, asegúrate de importarFirebaseAppCheck
y establece una instancia de la claseMyAppCheckProviderFactory
como fábrica del proveedor de la Verificación de aplicaciones.import SwiftUI import FirebaseCore import FirebaseAppCheck @main struct DatabaseExampleApp: App { init() { // Set an instance of MyAppCheckProviderFactory as an App Check // provider factory before configuring Firebase. AppCheck.setAppCheckProviderFactory(MyAppCheckProviderFactory()) FirebaseApp.configure() } ... }
5. Crea y configura un proyecto de Firebase
Para usar la Verificación de aplicaciones en tu proyecto de iOS, sigue estos pasos en Firebase console:
- Configura un proyecto de Firebase.
- Agrega tu app para iOS al proyecto de Firebase.
- Configurar Firebase Authentication
- Inicializa la instancia de Realtime Database que protegerás.
- Configura la Verificación de aplicaciones.
Crea un proyecto
Primero, debes crear un proyecto de Firebase.
- En Firebase console, selecciona Agregar proyecto.
- Asigna el nombre
App Check Codelab
al proyecto. - Haz clic en Continuar.
- Inhabilita Google Analytics para este proyecto y, luego, haz clic en Crear proyecto.
Crea una instancia de Realtime Database
Ve a la sección Realtime Database de Firebase console.
- Haz clic en el botón Crear base de datos para iniciar el flujo de trabajo de creación de la base de datos.
- No modifiques la ubicación predeterminada (
us-central1
) de la base de datos y haz clic en Next. - Asegúrate de que la opción Modo bloqueado esté seleccionada y haz clic en el botón Habilitar para habilitar las reglas de seguridad de tu base de datos.
- Navega a la pestaña Reglas del navegador de Realtime Database y reemplaza las reglas predeterminadas por lo siguiente:
{ "rules": { // User profiles are only readable/writable by the user who owns it "users": { "$UID": { ".read": "auth.uid == $UID", ".write": "auth.uid == $UID" } }, // Posts can be read by anyone but only written by logged-in users. "posts": { ".read": true, ".write": "auth.uid != null", "$POSTID": { // UID must match logged in user and is fixed once set "uid": { ".validate": "(data.exists() && data.val() == newData.val()) || newData.val() == auth.uid" }, // User can only update own stars "stars": { "$UID": { ".validate": "auth.uid == $UID" } } } }, // User posts can be read by anyone but only written by the user that owns it, // and with a matching UID "user-posts": { ".read": true, "$UID": { "$POSTID": { ".write": "auth.uid == $UID", ".validate": "data.exists() || newData.child('uid').val() == auth.uid" } } }, // Comments can be read by anyone but only written by a logged in user "post-comments": { ".read": true, ".write": "auth.uid != null", "$POSTID": { "$COMMENTID": { // UID must match logged in user and is fixed once set "uid": { ".validate": "(data.exists() && data.val() == newData.val()) || newData.val() == auth.uid" } } } } } }
- Haz clic en el botón Publicar para activar las reglas de seguridad actualizadas.
Prepara tu app para iOS a fin de conectarla a Firebase
Para poder ejecutar la app de ejemplo en un dispositivo físico, debes agregar el proyecto a tu equipo de desarrollo para que Xcode pueda administrar el perfil de aprovisionamiento requerido por ti. Sigue estos pasos para agregar la app de ejemplo a tu cuenta de desarrollador:
- En Xcode, selecciona el proyecto
DatabaseExample
en el navegador de proyectos. - Selecciona el objetivo
DatabaseExample (iOS)
y abre la pestaña Signing & Capabilities. - Deberías ver un mensaje de error que dice "Signing for DatabaseExample (iOS) needs a Development team".
- Actualiza el identificador de paquete a un identificador único. La forma más fácil de lograrlo es con el nombre de dominio inverso de tu sitio web, por ejemplo,
com.acme.samples.firebase.quickstart.DatabaseExample
(no uses este ID; elige tu ID único). - Selecciona tu equipo de desarrollo.
- Sabrás que todo salió bien cuando Xcode muestre el mensaje “Provisioning Profile: Xcode Managed Profile” y un ícono pequeño de información junto a la etiqueta. Si haces clic en este ícono, se mostrarán más detalles sobre el perfil de aprovisionamiento.
Conecta tu app para iOS
Para obtener una explicación detallada de cómo conectar tu app, consulta la documentación sobre cómo agregar Firebase a tu proyecto de iOS. Para comenzar, sigue estos pasos principales en Firebase console:
- En la pantalla Descripción general del proyecto de tu proyecto nuevo, haz clic en el botón + Agregar app y, luego, en el ícono de iOS+ para agregar una app para iOS nueva a tu proyecto de Firebase.
- Ingresa el ID del paquete de tu app (usa el que definiste en la sección anterior, como
com.acme.samples.firebase.quickstart.DatabaseExample
; ten en cuenta que este debe ser un identificador único) - Haga clic en Registrar app.
- Firebase genera un archivo
GoogleService-Info.plist
que contiene todos los metadatos necesarios de Firebase para la app. - Haz clic en Descargar GoogleService-Info.plist para descargar el archivo.
- En Xcode, verás que el proyecto ya contiene un archivo llamado
GoogleService-Info.plist
. Primero, borra este archivo. Lo reemplazarás con el de tu proyecto de Firebase en el paso siguiente. - Copia el archivo
GoogleService-Info.plist
que descargaste en el paso anterior en la carpeta raíz de tu proyecto de Xcode, agrégalo al destinoDatabaseExample (iOS)
y asegúrate de que se llameGoogleService-Info.plist
. - Haz clic para avanzar por los pasos restantes del flujo de registro. Dado que el proyecto de muestra ya está configurado correctamente, no es necesario que realices ningún cambio en el código.
Configure Firebase Authentication
¡Vaya! Esa es una configuración bastante pequeña por ahora, pero espera. Si eres nuevo en Firebase, conoces partes fundamentales de un flujo de trabajo con las que pronto conocerás.
Ahora, configurarás Firebase Authentication para esta app.
Habilita el proveedor de acceso con correo electrónico y contraseña de autenticación
- En Firebase console, abre la sección Authentication de la consola.
- Haz clic en Comenzar para configurar Firebase Authentication en el proyecto.
- Selecciona la pestaña Método de acceso.
- Selecciona Correo electrónico/Contraseña en la sección Proveedores nativos.
- Habilita Correo electrónico/Contraseña y haz clic en Guardar.
Agrega un usuario de prueba
- Abre la pestaña Usuarios de la sección Autenticación.
- Haz clic en Agregar usuario.
- Especifica un correo electrónico y una contraseña para el usuario de prueba y, luego, haz clic en Agregar usuario.
Prueba la app
Regresa a Xcode y ejecuta la aplicación en el simulador de iOS. Accede con el correo electrónico y la contraseña del usuario de prueba que acabas de crear. Una vez que hayas accedido, crea una publicación, publica un comentario en una publicación existente y destaca o deja de destacar las publicaciones.
6. Configura un proveedor de certificación de App Attest
En este paso, configurarás la Verificación de aplicaciones para que use el proveedor de App Attest en Firebase console.
- En Firebase console, navega a la sección Verificación de aplicaciones de la consola.
- Haz clic en Comenzar.
- En la pestaña Apps, haz clic en tu app para expandir los detalles.
- Haz clic en App Attest para configurar App Attest y, luego, ingresa el ID de equipo de tu cuenta de desarrollador de Apple (puedes encontrarlo en la sección Membership del portal para desarrolladores de Apple):
- Haz clic en Guardar.
Con esto, tienes un proyecto de Firebase funcional que está conectado a nuestra nueva app y la Verificación de aplicaciones está habilitada.
Ya puedes configurar nuestro servicio de certificación específico. Para obtener más información sobre este flujo de trabajo, consulta Habilita la Verificación de aplicaciones mediante App Attest en iOS.
7. Configura App Attest para tu aplicación
Ahora es momento de probar el SDK de Verificación de aplicaciones de Firebase para implementar código de cliente.
Primero, debes configurar el proyecto de Xcode para que el SDK pueda usar la API de App Attest de Apple y garantizar que las solicitudes enviadas desde tu app provengan de instancias legítimas de esta.
- Agrega la función App Attest al destino de tu app en el proyecto de Xcode:
- Abre la pestaña Signing & Capabilities en la configuración de segmentación de tu app.
- Haz clic en el botón “+”.
- En el diálogo, busca y selecciona la función App Attest .
- Después de realizar el paso anterior, aparecerá un archivo
DatabaseExample (iOS).entitlements
en la carpeta raíz de tu proyecto de Xcode. - En el archivo
DatabaseExample (iOS).entitlements
, cambia el valor de la claveApp Attest Environment
aproduction.
.
Cuando termines estos pasos y, luego, inicies la app en un dispositivo iOS físico (iPhone o iPad), la app podrá acceder a Realtime Database. En un paso posterior, aplicarás la Verificación de aplicaciones, que bloqueará las solicitudes que se envíen desde apps y dispositivos ilegítimos.
Para obtener más información sobre este flujo de trabajo, consulta Habilita la Verificación de aplicaciones mediante App Attest en iOS.
8. Cómo configurar un proveedor de certificación de depuración para el simulador de iOS
El proveedor de Depuración de la Verificación de aplicaciones de Firebase permite probar aplicaciones con la aplicación forzosa de la Verificación de aplicaciones de Firebase en entornos que no son de confianza, incluido el simulador de iOS, durante el proceso de desarrollo. A continuación, debes configurar el proveedor de depuración en conjunto.
Cómo instalar el proveedor de depuración de Firebase en tu aplicación
Opción 1: Crea condicionalmente una instancia del proveedor de depuración en tu fábrica
La mayor parte del proceso hiciste cuando creaste la fábrica del proveedor de la Verificación de aplicaciones. En este paso, agregarás registros del secreto de depuración local generado por el proveedor de depuración para que puedas registrar esta instancia de la app en Firebase console con fines de depuración.
Actualiza MyAppCheckProviderFactory.swift
con el siguiente código:
import Firebase
class MyAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
#if targetEnvironment(simulator)
// App Attest is not available on simulators.
// Use a debug provider.
let provider = AppCheckDebugProvider(app: app)
// Print only locally generated token to avoid a valid token leak on CI.
print("Firebase App Check debug token: \(provider?.localDebugToken() ?? "" )")
return provider
#else
// Use App Attest provider on real devices.
return AppAttestProvider(app: app)
#endif
}
}
Este enfoque nos brinda más flexibilidad para configurar la Verificación de aplicaciones en función del entorno. Por ejemplo, puedes usar otros proveedores de certificación, como DeviceCheck, o un proveedor de certificación personalizado en versiones de SO en las que App Attest no está disponible. Consulta el ejemplo siguiente:
import Firebase
class MyAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
#if targetEnvironment(simulator)
// App Attest is not available on simulators.
// Use a debug provider.
let provider = AppCheckDebugProvider(app: app)
// Print only locally generated token to avoid a valid token leak on CI.
print("Firebase App Check debug token: \(provider?.localDebugToken() ?? "" )")
return provider
#else
if #available(iOS 14.0, *) {
// Use App Attest provider on real devices.
return AppAttestProvider(app: app)
} else {
return DeviceCheckProvider(app: app)
}
#endif
}
}
Opción 2: Instala AppCheckDebugProviderFactory
En casos más simples, puedes instalar AppCheckDebugProviderFactory
de manera temporal o condicional antes de configurar la instancia de la aplicación de Firebase:
init() {
#if targetEnvironment(simulator)
let providerFactory = AppCheckDebugProviderFactory()
#else
let providerFactory = MyAppCheckProviderFactory()
#endif
AppCheck.setAppCheckProviderFactory(providerFactory)
FirebaseApp.configure()
}
Esto ahorrará algunas líneas de código cuando crees tu propia fábrica del proveedor de la Verificación de aplicaciones.
Registra tu secreto de depuración en Firebase console
Obtén el secreto de depuración de tu simulador de iOS
- Si elegiste instalar
AppCheckDebugProviderFactory
(opción 2 anterior), debes habilitar el registro de depuración para tu app agregando-FIRDebugEnabled
a los argumentos de inicio de la app: - Cómo ejecutar tu app en un simulador
- Busca el secreto de depuración en la consola de Xcode. Puedes usar el filtro de la consola para encontrarla más rápido:
Nota: El secreto de depuración se genera para tu simulador en el primer inicio de la app y se almacena en los valores predeterminados del usuario. Si quitas la app, restableces el simulador o usas otro, se generará un secreto de depuración nuevo. Asegúrate de registrar el nuevo secreto de depuración.
Registra el secreto de depuración
- En la consola de Firevbase, vaya a la sección Verificación de aplicaciones.
- En la pestaña Apps, haz clic en tu app para expandir los detalles.
- En el menú ampliado, selecciona Manage debug tokens: .
- Agrega el secreto que copiaste de la consola de Xcode y, luego, haz clic en Save .
Después de estos pasos, puedes usar la app en el simulador, incluso con la Verificación de aplicaciones aplicada.
Nota: El proveedor de depuración se diseñó específicamente para evitar las filtraciones de secretos de depuración. Con el enfoque actual, no necesitas almacenar el secreto de depuración en tu código fuente.
Puedes encontrar más detalles sobre este flujo en la documentación. Consulta Usa la Verificación de aplicaciones mediante el proveedor de depuración en iOS.
9. Habilita la aplicación forzosa de la Verificación de aplicaciones para Firebase Realtime Database
Por ahora, nuestra app declara un AppCheckProviderFactory
que muestra un AppAttestProvider
para dispositivos reales. Si se ejecuta en un dispositivo físico, tu app realizará la certificación y enviará los resultados al backend de Firebase. Sin embargo, el backend de Firebase sigue aceptando solicitudes de cualquier dispositivo, como el simulador de iOS, una secuencia de comandos, etc. Este modo es útil cuando aún tienes usuarios con una versión anterior de la app sin la Verificación de aplicaciones y aún no quieres aplicar de manera forzosa las verificaciones de acceso.
Ahora, debes habilitar la aplicación forzosa de la Verificación de aplicaciones para asegurarte de que solo se pueda acceder a la app de Firebase desde dispositivos legítimos. Las versiones anteriores de la app sin la integración de la Verificación de aplicaciones dejarán de funcionar una vez que habilites la aplicación forzosa para el proyecto de Firebase.
- En la sección Verificación de aplicaciones de Firebase console, haz clic en Realtime Database para expandir los detalles.
- Haz clic en Aplicar.
- Lee la información en el diálogo de confirmación y, luego, haz clic en Aplicar.
Después de completar estos pasos, solo las apps legítimas podrán acceder a la base de datos. Se bloquearán las demás apps.
Intenta acceder a Realtime Database con una app ilegítima
Para ver la aplicación forzosa de la Verificación de aplicaciones en acción, sigue estos pasos:
- Para desactivar el registro de la Verificación de aplicaciones, comenta el código de registro de la Verificación de aplicaciones en el método
init
del punto de entrada de la aplicación enDatabaseExampleApp
. - Para restablecer el simulador, selecciona Dispositivo > Borrar todo el contenido y la configuración. Esta acción limpiará el simulador (y, además, invalidará el token de dispositivo).
- Vuelve a ejecutar la app en el simulador.
- Ahora deberías ver el siguiente mensaje de error:
[FirebaseDatabase][I-RDB034005] Firebase Database connection was forcefully killed by the server. Will not attempt reconnect. Reason: Invalid appcheck token.
Para volver a habilitar la Verificación de aplicaciones, haz lo siguiente:
- Quita el comentario del código de registro de la Verificación de aplicaciones en
DatabaseExampleApp
. - Reinicia la app.
- Toma nota del nuevo token de la Verificación de aplicaciones en la consola de Xcode.
- Registra el token de depuración en la configuración de la Verificación de aplicaciones en Firebase console.
- Vuelve a ejecutar la app.
- Ya no deberías ver un mensaje de error, y deberías poder agregar publicaciones y comentarios nuevos en la app.
10. ¡Felicitaciones!
Ahora ya sabes cómo hacer lo siguiente:
- Agrega la Verificación de aplicaciones a un proyecto existente
- Configura un proveedor de certificación de App Attest para la versión de producción de tu app
- Configura un proveedor de certificación de depuración para probar tu app en un simulador
- Observa el lanzamiento de la versión de la app para saber cuándo aplicar la Verificación de aplicaciones en tu proyecto de Firebase
- Habilita la aplicación forzosa de la Verificación de aplicaciones
Próximos pasos
Aprende a usar Remote Config para lanzar gradualmente la Verificación de aplicaciones a tus usuarios en el codelab Cómo realizar un lanzamiento gradual de la Verificación de aplicaciones de Firebase con Firebase Remote Config.
Estos son otros recursos que pueden resultarte útiles
La configuración que se describe en este codelab funcionará en la mayoría de los casos, pero la Verificación de aplicaciones te brinda más flexibilidad si es necesario. Consulta los siguientes vínculos para obtener más detalles: