查看 2022 年 Google I/O 大会上介绍的 Firebase 新动态。了解详情

Включить проверку приложений в приложениях Flutter

На этой странице показано, как включить проверку приложений в приложении Flutter, используя поставщиков по умолчанию: SafetyNet на Android, проверку устройств на платформах Apple и reCAPTCHA v3 в Интернете. Включив проверку приложений, вы гарантируете, что только ваше приложение может получить доступ к ресурсам Firebase вашего проекта. См. Обзор этой функции.

1. Настройте свой проект Firebase

  1. Установите и инициализируйте FlutterFire , если вы еще этого не сделали.

  2. Зарегистрируйте свои приложения для использования проверки приложений с поставщиками SafetyNet, Device Check и reCAPTCHA в разделе «Настройки проекта» > «Проверка приложений » консоли Firebase.

    Обычно вам необходимо зарегистрировать все приложения вашего проекта, потому что после включения принудительного применения для продукта Firebase только зарегистрированные приложения смогут получить доступ к внутренним ресурсам продукта.

  3. Необязательно : в настройках регистрации приложения установите пользовательское время жизни (TTL) для токенов проверки приложений, выпущенных провайдером. Вы можете установить TTL на любое значение от 30 минут до 7 дней. При изменении этого значения помните о следующих компромиссах:

    • Безопасность: более короткие значения TTL обеспечивают более высокий уровень безопасности, поскольку они уменьшают окно, в котором злоумышленник может злоупотребить утечкой или перехваченным токеном.
    • Производительность. Чем короче TTL, тем чаще ваше приложение будет выполнять аттестацию. Поскольку процесс аттестации приложения добавляет задержку к сетевым запросам каждый раз, когда он выполняется, короткий TTL может повлиять на производительность вашего приложения.
    • Квота и стоимость. Более короткие значения TTL и частая повторная аттестация истощают вашу квоту быстрее, а платные услуги могут стоить дороже. См. Квоты и лимиты .

    Значение TTL по умолчанию подходит для большинства приложений. Обратите внимание, что библиотека App Check обновляет токены примерно вдвое меньше TTL.

2. Добавьте библиотеку App Check в свое приложение.

  1. В корне вашего проекта Flutter выполните следующую команду, чтобы установить плагин:

    flutter pub add firebase_app_check
    
  2. После завершения перестройте приложение Flutter:

    flutter run
    

3. Инициализировать проверку приложений

Добавьте следующий код инициализации в свое приложение, чтобы оно запускалось до использования каких-либо служб Firebase, таких как хранилище, но после вызова Firebase.initializeApp() ;

import 'package:flutter/material.dart';
import 'package:firebase_core/firebase_core.dart';

// Import the firebase_app_check plugin
import 'package:firebase_app_check/firebase_app_check.dart';

Future<void> main() async {
  WidgetsFlutterBinding.ensureInitialized();
  await Firebase.initializeApp();
  await FirebaseAppCheck.instance.activate(
    webRecaptchaSiteKey: 'recaptcha-v3-site-key',
  );
  runApp(App());
}

После того, как библиотека App Check будет установлена ​​в вашем приложении, начните распространять обновленное приложение среди своих пользователей.

Обновленное клиентское приложение начнет отправлять токены проверки приложений вместе с каждым запросом, который он отправляет в Firebase, но продукты Firebase не будут требовать, чтобы токены были действительными, пока вы не включите принудительное применение в разделе «Проверка приложений» консоли Firebase. Дополнительные сведения см. в следующих двух разделах.

4. Отслеживайте метрики запросов

Теперь, когда ваше обновленное приложение находится в руках пользователей, вы можете включить принудительную проверку приложений для продуктов Firebase, которые вы используете. Однако прежде чем вы это сделаете, вы должны убедиться, что это не нарушит работу ваших существующих законных пользователей.

База данных в реальном времени, облачное хранилище Firestore и облачное хранилище

Важным инструментом, который вы можете использовать для принятия этого решения для базы данных реального времени, облачного хранилища Firestore и облачного хранилища, является экран метрик запроса App Check.

Чтобы просмотреть показатели запроса проверки приложений для продукта, откройте раздел « Настройки проекта» > «Проверка приложений » в консоли Firebase. Например:

Скриншот страницы метрик App Check

Метрики запросов для каждого продукта разбиты на четыре категории:

  • Подтвержденные запросы — это те, которые имеют действительный токен проверки приложения. После включения принудительной проверки приложений только запросы в этой категории будут успешными.

  • Устаревшие клиентские запросы — это те, в которых отсутствует токен проверки приложений. Эти запросы могут исходить от более старой версии Firebase SDK до того, как проверка приложений была включена в приложение.

  • Запросы неизвестного происхождения — это запросы, в которых отсутствует токен проверки приложений, и они не выглядят так, как будто они исходят из Firebase SDK. Это могут быть запросы, сделанные с украденными ключами API, или поддельные запросы, сделанные без Firebase SDK.

  • Недопустимые запросы — это запросы с недопустимым токеном проверки приложения, который может исходить от неаутентичного клиента, пытающегося выдать себя за ваше приложение, или от эмулируемых сред.

Распределение этих категорий для вашего приложения должно сообщить, когда вы решите включить принудительное применение. Вот несколько рекомендаций:

  • Если почти все недавние запросы исходят от проверенных клиентов, рассмотрите возможность включения принудительного применения, чтобы начать защищать ваши серверные ресурсы.

  • Если значительная часть недавних запросов исходит от устаревших клиентов, чтобы не мешать пользователям, подождите, пока другие пользователи обновят ваше приложение, прежде чем включать принудительное применение. Принудительная проверка приложений для выпущенного приложения нарушит работу предыдущих версий приложения, которые не интегрированы с SDK проверки приложений.

  • Если ваше приложение еще не запущено, вам следует немедленно включить принудительную проверку приложений, поскольку устаревшие клиенты не используются.

Облачные функции

Для облачных функций вы можете получить метрики проверки приложений, изучив журналы своих функций. При каждом вызове вызываемой функции создается структурированная запись в журнале, как в следующем примере:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Вы можете проанализировать эти метрики в Google Cloud Console, создав метрику счетчика на основе журналов со следующим фильтром метрик:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Пометьте метрику , используя поле jsonPayload.verifications.appCheck .

5. Включить правоприменение

Чтобы включить принудительное применение, следуйте приведенным ниже инструкциям для каждого продукта. После включения принудительного применения для продукта все неподтвержденные запросы к этому продукту будут отклонены.

База данных в реальном времени, облачное хранилище Firestore и облачное хранилище

Чтобы включить принудительное применение базы данных в реальном времени, Cloud Firestore (iOS и Android) и облачного хранилища:

  1. Откройте раздел « Настройки проекта» > «Проверка приложений » в консоли Firebase.

  2. Разверните представление показателей продукта, для которого вы хотите включить принудительное применение.

  3. Нажмите Принудительно и подтвердите свой выбор.

Обратите внимание, что после включения принудительного применения может пройти до 10 минут, прежде чем оно вступит в силу.

Облачные функции

См. раздел Включение принудительной проверки приложений для облачных функций .