Questa pagina mostra come attivare App Check in un'app per Android utilizzando il fornitore SafetyNet integrato. Se attivi App Check, contribuisci ad assicurarti che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Visualizza una panoramica di questa funzionalità.
Se vuoi utilizzare App Check con il tuo provider personalizzato, consulta Implementare un provider App Check personalizzato.
1. Configura il progetto Firebase
Aggiungi Firebase al tuo progetto Android, se non lo hai ancora fatto.
Registra le tue app per l'utilizzo di App Check con il provider SafetyNet nella sezione App Check della console Firebase. Dovrai fornire l'impronta SHA-256 del certificato di firma della tua app.
In genere devi registrare tutte le app del tuo progetto, perché, una volta attivata l'applicazione delle norme per un prodotto Firebase, solo le app registrate potranno accedere alle risorse di backend del prodotto.
Facoltativo: nelle impostazioni di registrazione dell'app, imposta una durata personalizzata (TTL) per i token App Check emessi dal provider. Puoi impostare il TTL su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando modifichi questo valore, tieni conto dei seguenti compromessi:
- Sicurezza: i TTL più brevi forniscono una sicurezza più efficace, perché riducono la finestra entro cui un token divulgato o intercettato può essere utilizzato in modo illecito da un utente malintenzionato.
- Rendimento: TTL più brevi indicano che l'app eseguirà l'attestazione con maggiore frequenza. Poiché la procedura di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguita, un TTL breve può influire sul rendimento della tua app.
- Quota e costo: i TTL più brevi e le attestazioni ripetute frequentemente esauriscono la quota più rapidamente e, per i servizi a pagamento, possono costare di più. Consulta la sezione Quote e limiti.
Il TTL predefinito di 1 ora è ragionevole per la maggior parte delle app. Tieni presente che la libreria App Check aggiorna i token approssimativamente a metà della durata del TTL.
2. Aggiungere la raccolta App Check all'app
Nel file Gradle del modulo (a livello di app) (di solito app/build.gradle), dichiara la dipendenza per la libreria App Check per Android:
dependencies {
implementation 'com.google.firebase:firebase-appcheck-safetynet:16.1.2'
}
3. Inizializza App Check
Aggiungi il seguente codice di inizializzazione alla tua app in modo che venga eseguito prima di utilizzare qualsiasi altro SDK Firebase:
Kotlin+KTX
Firebase.initialize(context = this)
Firebase.appCheck.installAppCheckProviderFactory(
SafetyNetAppCheckProviderFactory.getInstance()
)
Java
FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
SafetyNetAppCheckProviderFactory.getInstance());
Passaggi successivi
Dopo aver installato la libreria App Check nella tua app, inizia a distribuire l'app aggiornata ai tuoi utenti.
L'app client aggiornata inizierà a inviare token App Check con ogni richiesta inviata a Firebase, ma i prodotti Firebase non richiederanno che i token siano validi finché non attivi l'applicazione forzata nella sezione App Check della Console Firebase.
Monitorare le metriche e abilitare l'applicazione delle norme
Tuttavia, prima di attivare l'applicazione, devi assicurarti che questa operazione non causi interruzioni per gli utenti legittimi esistenti. D'altra parte, se noti un uso sospetto delle risorse della tua app, ti consigliamo di attivare l'applicazione delle norme in precedenza.
Per aiutarti a prendere questa decisione, puoi esaminare le metriche App Check per i servizi che utilizzi:
- Monitora le metriche delle richieste App Check per Realtime Database, Cloud Firestore, Cloud Storage, Authentication (beta) e Vertex AI in Firebase.
- Monitora le metriche delle richieste App Check per Cloud Functions.
Attivare l'applicazione di App Check
Una volta compreso l'impatto di App Check sui tuoi utenti e quando è tutto pronto per procedere, puoi attivare l'applicazione di App Check:
- Abilita l'applicazione di App Check per Realtime Database, Cloud Firestore, Cloud Storage, Authentication (beta) e Vertex AI in Firebase.
- Attiva l'applicazione forzata di App Check per Cloud Functions.
Utilizzare App Check in ambienti di debug
Se, dopo aver registrato la tua app per App Check, vuoi eseguirla in un ambiente che App Check normalmente non classificherebbe come valido, come un emulatore durante lo sviluppo o da un ambiente di integrazione continua (CI), puoi creare una build di debug della tua app che utilizzi il fornitore di debug App Check anziché un fornitore di attestazione reale.
Vedi Utilizzare App Check con il provider di debug su Android.