使用入门:将 App Check 与 Play Integrity 搭配使用 (Android)

本页介绍如何使用内置的 Play Integrity 提供方在 Android 应用中启用 App Check。启用 App Check 有助于确保只有您的应用可以访问项目的 Firebase 资源。请查看此功能的概览

目前,内置的 Play Integrity 提供程序仅支持由 Google Play 分发的 Android 应用。如需使用 Play Integrity 的非 Google Play 功能,或将 App Check 与您自己的自定义提供方搭配使用,请参阅实现自定义 App Check 提供方

1. 设置您的 Firebase 项目

  1. 将 Firebase 添加到您的 Android 项目(如果尚未添加)。

  2. 启用 Play Integrity API:

    1. Google Play 管理中心选择您的应用,或添加您的应用(如果尚未添加)。

    2. 发布部分中,点击应用完整性

    3. 前往页面的 Play Integrity API 部分,点击关联 Cloud 项目,然后从 Google Cloud 项目列表中选择您的 Firebase 项目。您在此处选择的项目必须是您注册应用(请参阅下一步)时所用的项目。

  3. Firebase 控制台的 App Check 部分中注册您的应用,以便将 App Check 与 Play Integrity 提供方搭配使用。您需要提供应用签名证书的 SHA-256 指纹

    您通常需要注册项目的所有应用,因为在您为 Firebase 产品启用强制执行后,只有注册的应用才能访问产品的后端资源。

  4. 可选:在应用注册设置中,为提供方颁发的 App Check 令牌设置自定义存留时间 (TTL)。您可以将 TTL 设置为 30 分钟到 7 天之间的任何值。更改此值时,请注意权衡以下几个方面:

    • 安全性:较短的 TTL 可以提供更强的安全性,因为它可以缩短攻击者可能滥用已泄露或者已被拦截的令牌的时长。
    • 性能:较短的 TTL 意味着您的应用将更频繁地执行证明操作。由于每次执行应用证明过程都会增加网络请求的延迟时间,因此短 TTL 可能会影响应用的性能。
    • 配额和费用:较短的 TTL 和频繁的重新证明会更快地耗尽您的配额,而对于付费服务,费用可能更高。请参阅配额和限制

    对于大多数应用而言,默认的 TTL(1 小时)比较合理。请注意,App Check 库会在达到 TTL 时长约一半时刷新令牌。

2. 将 App Check 库添加到您的应用中

模块(应用级)Gradle 文件(通常是 <project>/<app-module>/build.gradle.kts<project>/<app-module>/build.gradle)中,添加 App Check 库的依赖项。我们建议使用 Firebase Android BoM 来实现库版本控制。

dependencies {
    // Import the BoM for the Firebase platform
    implementation(platform("com.google.firebase:firebase-bom:33.7.0"))

    // Add the dependencies for the App Check libraries
    // When using the BoM, you don't specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity")
}

借助 Firebase Android BoM,可确保您的应用使用的始终是 Firebase Android 库的兼容版本。

(替代方法) 在不使用 BoM 的情况下添加 Firebase 库依赖项

如果您选择不使用 Firebase BoM,则必须在每个 Firebase 库的依赖项行中指定相应的库版本。

请注意,如果您在应用中使用多个 Firebase 库,我们强烈建议您使用 BoM 来管理库版本,从而确保所有版本都兼容。

dependencies {
    // Add the dependencies for the App Check libraries
    // When NOT using the BoM, you must specify versions in Firebase library dependencies
    implementation("com.google.firebase:firebase-appcheck-playintegrity:18.0.0")
}
是否想要查找 Kotlin 专用的库模块?2023 年 10 月 (Firebase BoM 32.5.0) 开始,Kotlin 和 Java 开发者可以依赖于主库模块(如需了解详情,请参阅关于此计划的常见问题解答)。

3. 初始化 App Check

将以下初始化代码添加到您的应用,使其在您使用任何其他 Firebase SDK 之前运行:

Kotlin

Firebase.initialize(context = this)
Firebase.appCheck.installAppCheckProviderFactory(
    PlayIntegrityAppCheckProviderFactory.getInstance(),
)

Java

FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());

后续步骤

App Check 库安装到您的应用中之后,开始将更新后的应用分发给用户。

更新后的客户端应用会开始将 App Check 令牌随其发出的每个请求一起发送到 Firebase;不过,您在 Firebase 控制台的 App Check 部分中启用强制执行之前,Firebase 产品并不会要求令牌必须有效。

监控指标并启用强制执行

不过,在启用强制执行之前,您应该确保这样做不会干扰现有的合法用户。另一方面,如果您发现自己的应用资源被非法使用,建议您尽快启用强制执行。

为帮助您做出相关决策,建议您查看自己使用的服务的 App Check 指标:

启用 App Check 强制执行

在了解 App Check 对用户有何影响并为后续操作做好准备之后,您便可以启用 App Check 强制执行:

在调试环境中使用 App Check

App Check 注册应用后,如果您希望在 App Check 通常不会归类为有效提供方的环境(例如开发期间的模拟器)或持续集成 (CI) 环境中运行您的应用,可以创建应用的调试 build,该 build 使用 App Check 调试提供方,而不是真正的证明提供方。

请参阅App Check 与调试提供方搭配使用 (Android)