Questa pagina mostra come abilitare App Check in un'app per Android utilizzando il provider Play Integrity integrato. Quando abiliti App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse di backend del tuo progetto. Consulta una panoramica di questa funzionalità.
Il provider Play Integrity supporta le app Android pubblicate su Google Play, al di fuori di Google Play o su entrambi. Se il tuo caso d'uso richiede funzionalità di Play Integrity non implementate da App Check, o se vuoi utilizzare App Check con il tuo provider personalizzato, consulta Implementare un provider App Check personalizzato.
1. Configura il progetto Firebase
Aggiungi Firebase al tuo progetto Android, se non l'hai già fatto.
Abilita l'API Play Integrity:
In Google Play Console, seleziona la tua app o aggiungila, se non l'hai già fatto.
Nella sezione Release, fai clic su Integrità dell'app.
Vai alla sezione API Play Integrity della pagina, fai clic su Collega progetto Cloud, quindi seleziona il tuo progetto Firebase dall'elenco dei progetti Google Cloud. Il progetto che selezioni qui deve essere lo stesso progetto Firebase in cui registri la tua app (vedi il passaggio successivo).
Registra le tue app per utilizzare App Check con il provider Play Integrity nella sezione App Check di Firebase console. Dovrai fornire la fingerprint SHA-256 del certificato di firma della tua app.
In genere, devi registrare tutte le app del tuo progetto, perché una volta abilitata l'applicazione forzata per un prodotto Firebase, solo le app registrate potranno accedere alle risorse di backend del prodotto.
Facoltativo: nelle impostazioni di registrazione dell'app, imposta una durata (TTL) personalizzata per i token App Check emessi dal provider. Puoi impostare la durata su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando modifichi questo valore, tieni presente i seguenti compromessi:
- Sicurezza: le durate più brevi offrono una maggiore sicurezza, perché riducono la finestra in cui un token trapelato o intercettato può essere utilizzato in modo illecito da un utente malintenzionato.
- Prestazioni: le durate più brevi significano che la tua app eseguirà l'attestazione più spesso. Poiché il processo di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguito, una durata breve può influire sulle prestazioni dell'app.
- Quota e costi: le durate più brevi e la riattestazione frequente esauriscono più rapidamente la quota e, per i servizi a pagamento, potrebbero costare di più. Consulta Quote e limiti.
La durata predefinita di 1 ora è ragionevole per la maggior parte delle app. Tieni presente che la libreria App Check aggiorna i token a circa metà della durata.
Configurare le impostazioni avanzate (facoltativo)
App Check offre una serie di impostazioni per supportare casi d'uso avanzati, inclusa la distribuzione dell'app al di fuori di Google Play. Puoi configurare queste impostazioni nella App Check sezione della console Firebase per ciascuna delle tue app Android. Ti consigliamo di configurare queste impostazioni in base alla tabella seguente quando registri l'app per la prima volta.
| Canale di distribuzione dell'app | PLAY_RECOGNIZED | LICENSED | Livello minimo accettabile di integrità del dispositivo |
|---|---|---|---|
| Esclusivamente su Google Play | Obbligatorio | Obbligatorio | Non controllare in modo esplicito il livello di integrità del dispositivo |
| Esclusivamente al di fuori di Google Play | Non obbligatoria | Non obbligatoria | Integrità del dispositivo |
| Su Google Play e al di fuori di Google Play | Obbligatorio | Non obbligatoria | Non controllare in modo esplicito il livello di integrità del dispositivo |
Dettagli
Ogni impostazione avanzata corrisponde a un'etichetta di esito relativo all'integrità di Play Integrity. Consulta la documentazione di Play Integrity per ulteriori dettagli.
- Per impostazione predefinita, App Check richiede l'
PLAY_RECOGNIZEDetichetta di riconoscimento dell'app. Le app non pubblicate su Google Play non sono idonee a ricevere questa etichetta. - Per impostazione predefinita, App Check non richiede l'
LICENSEDetichetta di licenza dell'app. Solo gli utenti che hanno installato o aggiornato la tua app direttamente da Google Play sono idonei a ricevere questa etichetta. Per impostazione predefinita, App Check non controlla in modo esplicito il verdetto di integrità del dispositivo. App Check supporta il controllo esplicito dei seguenti tre livelli di integrità del dispositivo, elencati in ordine crescente di integrità del dispositivo.
Integrità di base. Fa sì che App Check richieda l'etichetta di riconoscimento del dispositivo.
MEETS_BASIC_INTEGRITYAffinché la tua app sia idonea a ricevere questa etichetta facoltativa, devi prima attivare l'opzione da Google Play Console.Integrità del dispositivo. Fa sì che App Check richieda l'etichetta di riconoscimento del dispositivo.
MEETS_DEVICE_INTEGRITYTutte le app sono idonee automaticamente a ricevere questa etichetta.Integrità elevata. Fa sì che App Check richieda l'
MEETS_STRONG_INTEGRITYetichetta di riconoscimento del dispositivo. Affinché la tua app sia idonea a ricevere questa etichetta facoltativa, devi prima attivare l'opzione da Google Play Console.
2. Aggiungi la libreria App Check alla tua app
Nel file Gradle del modulo (a livello di app) (in genere<project>/<app-module>/build.gradle.kts o
<project>/<app-module>/build.gradle),
aggiungi la dipendenza per la libreria App Check per Android. Ti consigliamo di utilizzare il
Firebase Android BoM
per controllare il controllo delle versioni della libreria.
dependencies { // Import the BoM for the Firebase platform implementation(platform("com.google.firebase:firebase-bom:34.11.0")) // Add the dependencies for the App Check libraries // When using the BoM, you don't specify versions in Firebase library dependencies implementation("com.google.firebase:firebase-appcheck-playintegrity") }
Utilizzando il Firebase Android BoM, la tua app utilizzerà sempre versioni compatibili delle librerie Firebase Android.
(Alternativa) Aggiungi le dipendenze della libreria Firebase senza utilizzare il BoM
Se scegli di non utilizzare il Firebase BoM, devi specificare la versione di ogni libreria Firebase nella riga di dipendenza.
Tieni presente che se utilizzi più librerie Firebase nella tua app, ti consigliamo vivamente di utilizzare il BoM per gestire le versioni delle librerie, in modo da garantire che tutte le versioni siano compatibili.
dependencies { // Add the dependencies for the App Check libraries // When NOT using the BoM, you must specify versions in Firebase library dependencies implementation("com.google.firebase:firebase-appcheck-playintegrity:19.0.2") }
3. Inizializza App Check
Aggiungi il seguente codice di inizializzazione alla tua app in modo che venga eseguito prima di utilizzare altri SDK Firebase:
Kotlin
Firebase.initialize(context = this) Firebase.appCheck.installAppCheckProviderFactory( PlayIntegrityAppCheckProviderFactory.getInstance(), )
Java
FirebaseApp.initializeApp(/*context=*/ this); FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance(); firebaseAppCheck.installAppCheckProviderFactory( PlayIntegrityAppCheckProviderFactory.getInstance());
Passaggi successivi
Una volta installata la libreria App Check nella tua app, inizia a distribuire l'app aggiornata agli utenti.
L'app client aggiornata inizierà a inviare i token App Check insieme a ogni richiesta a Firebase, ma i prodotti Firebase non richiederanno la validità dei token finché non abiliti l'applicazione forzata nella sezione App Check della console Firebase.
Monitora le metriche e abilita l'applicazione forzata
Prima di abilitare l'applicazione forzata, però, devi assicurarti che non interrompa gli utenti legittimi esistenti. D'altra parte, se noti un utilizzo sospetto delle risorse dell'app, potresti voler abilitare l'applicazione forzata prima.
Per prendere questa decisione, puoi esaminare le metriche App Check per i servizi che utilizzi:
- Monitora le metric1/} metriche delle richieste per Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity per iOS, API Maps JavaScript e API Places (nuova).App Check
- Monitora le metriche delle richieste App Check per Cloud Functions.
Abilita l'applicazione forzataApp Check
Quando hai capito in che modo App Check influirà sugli utenti e sei pronto per procedere, puoi abilitare l'applicazione forzata di App Check:
- Abilita l'App Checkapplicazione forzata per Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity per iOS, API Maps JavaScript e API Places (nuova).
- Abilita l'applicazione forzata per App CheckCloud Functions.
Utilizza App Check negli ambienti di debug
Se, dopo aver registrato l'app per App Check, vuoi eseguire la tua app in un ambiente che App Check normalmente non classificherebbe come valido, ad esempio un emulatore durante lo sviluppo o da un ambiente di integrazione continua (CI), puoi creare una build di debug della tua app che utilizza il provider di debug di App Check anziché un provider di attestazione reale.
Consulta Utilizzare App Check con il provider di debug su Android.