欢迎参加我们将于 2022 年 10 月 18 日举办的 Firebase 峰会(线上线下同时进行),了解 Firebase 如何帮助您加快应用开发速度、满怀信心地发布应用并在之后需要时轻松地扩大应用规模。立即报名

Comience a usar App Check con Play Integrity en Android

Esta página le muestra cómo habilitar App Check en una aplicación de Android, usando el proveedor integrado de Play Integrity. Cuando habilita App Check, ayuda a garantizar que solo su aplicación pueda acceder a los recursos de Firebase de su proyecto. Vea una descripción general de esta función.

Actualmente, el proveedor integrado de Play Integrity solo admite aplicaciones de Android distribuidas por Google Play. Para usar las funciones fuera de Play de Play Integrity, o para usar App Check con su propio proveedor personalizado, consulte Implementar un proveedor personalizado de App Check .

1. Configura tu proyecto de Firebase

  1. Agregue Firebase a su proyecto de Android si aún no lo ha hecho.

  2. Habilite la API de integridad de Play:

    1. En Google Play Console , seleccione su aplicación o agréguela si aún no lo ha hecho.

    2. En la sección Lanzamiento , haga clic en Configuración > Integridad de la aplicación .

    3. En la página de Integrity API , haga clic en Vincular proyecto y luego seleccione su proyecto de Firebase de la lista de proyectos de Google Cloud.

      El proyecto que seleccione aquí debe ser el mismo proyecto de Firebase en el que registró su aplicación (vea el siguiente paso).

  3. Registre sus aplicaciones para usar App Check con el proveedor de Play Integrity en la sección App Check de Firebase console. Deberá proporcionar la huella digital SHA-256 del certificado de firma de su aplicación.

    Por lo general, debe registrar todas las aplicaciones de su proyecto, ya que una vez que habilite la aplicación para un producto de Firebase, solo las aplicaciones registradas podrán acceder a los recursos de back-end del producto.

  4. Opcional : en la configuración de registro de la aplicación, establezca un tiempo de vida (TTL) personalizado para los tokens de App Check emitidos por el proveedor. Puede establecer el TTL en cualquier valor entre 30 minutos y 7 días. Al cambiar este valor, tenga en cuenta las siguientes ventajas y desventajas:

    • Seguridad: los TTL más cortos brindan una mayor seguridad, ya que reducen la ventana en la que un atacante puede abusar de un token filtrado o interceptado.
    • Rendimiento: los TTL más cortos significan que su aplicación realizará la atestación con más frecuencia. Debido a que el proceso de atestación de la aplicación agrega latencia a las solicitudes de red cada vez que se realiza, un TTL breve puede afectar el rendimiento de su aplicación.
    • Cuota y costo: los TTL más cortos y la recertificación frecuente agotan su cuota más rápido y, para los servicios pagos, pueden costar más. Consulte Cuotas y límites .

    El TTL predeterminado de 1 hora es razonable para la mayoría de las aplicaciones. Tenga en cuenta que la biblioteca App Check actualiza los tokens aproximadamente a la mitad de la duración del TTL.

2. Agregue la biblioteca App Check a su aplicación

En el archivo Gradle de tu módulo (nivel de aplicación) (generalmente <project>/<app-module>/build.gradle ), agrega la dependencia para la biblioteca de Android App Check. Recomendamos usar Firebase Android BoM para controlar el control de versiones de la biblioteca.

Java

dependencies {
    // Import the BoM for the Firebase platform
    implementation platform('com.google.firebase:firebase-bom:30.5.0')

    // Add the dependency for the App Check library
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation 'com.google.firebase:firebase-appcheck-playintegrity'
}

Al usar Firebase Android BoM , su aplicación siempre usará versiones compatibles de las bibliotecas de Firebase Android.

(Alternativa) Agregar dependencias de la biblioteca de Firebase sin usar el BoM

Si elige no usar Firebase BoM, debe especificar cada versión de la biblioteca de Firebase en su línea de dependencia.

Tenga en cuenta que si usa varias bibliotecas de Firebase en su aplicación, le recomendamos enfáticamente que use la lista de materiales para administrar las versiones de la biblioteca, lo que garantiza que todas las versiones sean compatibles.

dependencies {
    // Add the dependency for the App Check library
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation 'com.google.firebase:firebase-appcheck-playintegrity:16.0.2'
}

Kotlin+KTX

dependencies {
    // Import the BoM for the Firebase platform
    implementation platform('com.google.firebase:firebase-bom:30.5.0')

    // Add the dependency for the App Check library
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation 'com.google.firebase:firebase-appcheck-playintegrity'
}

Al usar Firebase Android BoM , su aplicación siempre usará versiones compatibles de las bibliotecas de Firebase Android.

(Alternativa) Agregar dependencias de la biblioteca de Firebase sin usar el BoM

Si elige no usar Firebase BoM, debe especificar cada versión de la biblioteca de Firebase en su línea de dependencia.

Tenga en cuenta que si usa varias bibliotecas de Firebase en su aplicación, le recomendamos enfáticamente que use la lista de materiales para administrar las versiones de la biblioteca, lo que garantiza que todas las versiones sean compatibles.

dependencies {
    // Add the dependency for the App Check library
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation 'com.google.firebase:firebase-appcheck-playintegrity:16.0.2'
}

3. Inicializar verificación de aplicaciones

Agregue el siguiente código de inicialización a su aplicación para que se ejecute antes de usar cualquier otro SDK de Firebase:

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());

Kotlin+KTX

FirebaseApp.initializeApp(/*context=*/this)
val firebaseAppCheck = FirebaseAppCheck.getInstance()
firebaseAppCheck.installAppCheckProviderFactory(
    PlayIntegrityAppCheckProviderFactory.getInstance()
)

Próximos pasos

Una vez que la biblioteca App Check esté instalada en su aplicación, comience a distribuir la aplicación actualizada a sus usuarios.

La aplicación cliente actualizada comenzará a enviar tokens de verificación de aplicaciones junto con cada solicitud que haga a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección Verificación de aplicaciones de la consola de Firebase.

Supervise las métricas y habilite la aplicación

Sin embargo, antes de habilitar la aplicación, debe asegurarse de que hacerlo no interrumpa a sus usuarios legítimos existentes. Por otro lado, si observa un uso sospechoso de los recursos de su aplicación, es posible que desee habilitar la aplicación antes.

Para ayudarlo a tomar esta decisión, puede consultar las métricas de App Check para los servicios que utiliza:

Habilitar la aplicación de verificación de aplicaciones

Cuando comprenda cómo App Check afectará a sus usuarios y esté listo para continuar, puede habilitar la aplicación de App Check:

Usar App Check en entornos de depuración

Si, después de haber registrado su aplicación para App Check, desea ejecutar su aplicación en un entorno que App Check normalmente no clasificaría como válido, como un emulador durante el desarrollo o desde un entorno de integración continua (CI), puede cree una compilación de depuración de su aplicación que use el proveedor de depuración de App Check en lugar de un proveedor de atestación real.

Consulte Usar App Check con el proveedor de depuración en Android .