Abilita l'applicazione forzata di App Check

Quando hai compreso l'impatto di App Check sugli utenti e sei pronto a procedere, puoi attivare l'applicazione forzata di App Check.

I passaggi seguenti descrivono come attivare l'applicazione forzata per Firebase AI Logic, SQL Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity per iOS, API Maps JavaScript e API Places (New). Una volta attivata l'applicazione forzata per un prodotto, tutte le richieste non verificate a quel prodotto verranno rifiutate.

  1. Nella Firebase console, vai a Sicurezza > App Check.

  2. Espandi la visualizzazione delle metriche del prodotto per cui vuoi attivare l'applicazione forzata.

  3. Fai clic su Applica e conferma la tua scelta.

Tieni presente che l'applicazione forzata potrebbe richiedere fino a 15 minuti per avere effetto.

Protezione di riproduzione (beta)

Per impostazione predefinita, App Check utilizza token di sessione con una durata (TTL) configurabile compresa tra 30 minuti e 7 giorni. Questi token di sessione vengono memorizzati nella cache dall'SDK App Check, vengono inviati insieme alle richieste dalla tua app e possono essere riutilizzati fino alla scadenza della durata. L'utilizzo dei token di sessione è considerato protezione di base.

Per migliorare la protezione oltre quella di base offerta da App Check, puoi facoltativamente applicare la protezione di riproduzione. Ecco cosa succede quando applichi la protezione di riproduzione:

  • App Check bloccherà le richieste all'API protetta che utilizzano token di sessione. Al contrario, App Check consentirà solo una richiesta all' API protetta che utilizza un token di utilizzo limitato appena generato. Consulta la documentazione specifica del prodotto per scoprire come attivare l'utilizzo dei token di utilizzo limitato nella tua app.

  • Una volta verificato, il token di utilizzo limitato viene consumato in modo che possa essere utilizzato una sola volta, il che impedisce gli attacchi di riproduzione.

  • L'App Check SDK genererà un nuovo token per ogni richiesta. Questo processo può influire sulle richieste aggiungendo una certa latenza e, a volte, un costo (a seconda del fornitore di attestazioni).

Ecco come applicare la protezione di riproduzione:

  1. Nel codebase della tua app, attiva l'utilizzo dei token di utilizzo limitato. Consulta la documentazione specifica del prodotto per queste istruzioni:

  2. Nella Firebase console, vai a Sicurezza > App Check.

  3. Espandi la visualizzazione delle metriche per l'API protetta.

  4. Assicurati che la protezione di base sia applicata, quindi fai clic su Continua.

  5. Per la protezione di riproduzione, scegli Non applicata (solo monitoraggio) o Applicata.

    Tieni presente quanto segue per decidere quando applicare la protezione di riproduzione:

    • Ti consigliamo di monitorare le richieste se è probabile che un numero significativo di utenti utilizzi versioni precedenti della tua app senza che i token di utilizzo limitato siano attivati. Se applichi immediatamente la protezione di riproduzione, le richieste di questi utenti verranno bloccate.

    • Nella scheda Sicurezza > App Check > API della console Firebase, puoi monitorare la metrica Non verificata: token riutilizzato, ovvero il numero di richieste che hanno un token già utilizzato in una richiesta precedente. Se una parte significativa delle richieste recenti rientra in questa categoria, dovresti evitare di interrompere gli utenti e valutare di attendere che un numero maggiore di utenti aggiorni la tua app prima di attivare l'applicazione forzata.