Trang này hướng dẫn cách bật tính năng Kiểm tra ứng dụng trong một ứng dụng Flutter bằng cách sử dụng các trình cung cấp mặc định: Play Integrity trên Android, Device Check trên các nền tảng của Apple và reCAPTCHA v3 trên web. Khi bật Kiểm tra ứng dụng, bạn sẽ giúp đảm bảo rằng chỉ ứng dụng của bạn mới có thể truy cập vào các tài nguyên Firebase của dự án. Xem phần Tổng quan về tính năng này.
1. Thiết lập dự án Firebase
Cài đặt và khởi chạy FlutterFire nếu bạn chưa làm.
Trong bảng điều khiển Firebase, hãy chuyển đến phần Bảo mật > Kiểm tra ứng dụng.
Trong thẻ Ứng dụng, hãy đăng ký ứng dụng của bạn để sử dụng App Check với các nhà cung cấp Play Integrity, DeviceCheck và reCAPTCHA.
Bạn thường cần đăng ký tất cả ứng dụng của dự án, vì sau khi bạn bật chế độ thực thi cho một sản phẩm của Firebase, chỉ những ứng dụng đã đăng ký mới có thể truy cập vào các tài nguyên phụ trợ của sản phẩm đó.
Không bắt buộc: Trong phần cài đặt đăng ký ứng dụng, hãy đặt thời gian tồn tại (TTL) tuỳ chỉnh cho mã thông báo Kiểm tra ứng dụng do nhà cung cấp phát hành. Bạn có thể đặt TTL thành bất kỳ giá trị nào trong khoảng từ 30 phút đến 7 ngày. Khi thay đổi giá trị này, hãy lưu ý đến những điểm đánh đổi sau:
- Bảo mật: TTL ngắn hơn giúp tăng cường bảo mật, vì TTL ngắn hơn sẽ giảm khoảng thời gian mà kẻ tấn công có thể lợi dụng mã thông báo bị rò rỉ hoặc bị chặn.
- Hiệu suất: TTL ngắn hơn nghĩa là ứng dụng của bạn sẽ thực hiện chứng thực thường xuyên hơn. Vì quy trình chứng thực ứng dụng làm tăng độ trễ cho các yêu cầu mạng mỗi khi quy trình này được thực hiện, nên TTL ngắn có thể ảnh hưởng đến hiệu suất của ứng dụng.
- Hạn mức và chi phí: TTL ngắn hơn và việc chứng thực lại thường xuyên sẽ làm cạn kiệt hạn mức của bạn nhanh hơn và đối với các dịch vụ có tính phí, có thể tốn kém hơn. Xem Hạn mức và giới hạn.
TTL mặc định phù hợp với hầu hết các ứng dụng. Xin lưu ý rằng thư viện Kiểm tra ứng dụng sẽ làm mới mã thông báo sau khoảng thời gian bằng một nửa thời gian TTL.
2. Thêm thư viện Kiểm tra ứng dụng vào ứng dụng của bạn
Từ gốc của dự án Flutter, hãy chạy lệnh sau để cài đặt trình bổ trợ:
flutter pub add firebase_app_checkSau khi hoàn tất, hãy tạo lại ứng dụng Flutter:
flutter run
3. Khởi chạy tính năng Kiểm tra ứng dụng
Thêm mã khởi chạy sau đây vào ứng dụng của bạn để ứng dụng chạy trước khi bạn sử dụng bất kỳ dịch vụ Firebase nào (chẳng hạn như Storage), nhưng sau khi gọi Firebase.initializeApp();
import 'package:flutter/material.dart';
import 'package:firebase_core/firebase_core.dart';
// Import the firebase_app_check plugin
import 'package:firebase_app_check/firebase_app_check.dart';
Future<void> main() async {
WidgetsFlutterBinding.ensureInitialized();
await Firebase.initializeApp();
await FirebaseAppCheck.instance.activate(
// You can also use a `ReCaptchaEnterpriseProvider` provider instance as an
// argument for `webProvider`
webProvider: ReCaptchaV3Provider('recaptcha-v3-site-key'),
// Default provider for Android is the Play Integrity provider. You can use the "AndroidProvider" enum to choose
// your preferred provider. Choose from:
// 1. Debug provider
// 2. Safety Net provider
// 3. Play Integrity provider
androidProvider: AndroidProvider.debug,
// Default provider for iOS/macOS is the Device Check provider. You can use the "AppleProvider" enum to choose
// your preferred provider. Choose from:
// 1. Debug provider
// 2. Device Check provider
// 3. App Attest provider
// 4. App Attest provider with fallback to Device Check provider (App Attest provider is only available on iOS 14.0+, macOS 14.0+)
appleProvider: AppleProvider.appAttest,
);
runApp(App());
}
Các bước tiếp theo
Sau khi cài đặt thư viện Kiểm tra ứng dụng trong ứng dụng, hãy bắt đầu phân phối ứng dụng đã cập nhật cho người dùng.
Ứng dụng khách đã cập nhật sẽ bắt đầu gửi mã thông báo Kiểm tra ứng dụng cùng với mọi yêu cầu mà ứng dụng đó gửi đến Firebase, nhưng các sản phẩm của Firebase sẽ không yêu cầu mã thông báo phải hợp lệ cho đến khi bạn bật chế độ thực thi trong phần Kiểm tra ứng dụng của bảng điều khiển của Firebase.
Theo dõi các chỉ số và bật chế độ thực thi
Tuy nhiên, trước khi bật chế độ thực thi, bạn nên đảm bảo rằng việc này sẽ không làm gián đoạn người dùng hợp pháp hiện tại. Mặt khác, nếu thấy có dấu hiệu sử dụng tài nguyên ứng dụng của bạn một cách đáng ngờ, thì bạn nên bật tính năng thực thi sớm hơn.
Để đưa ra quyết định này, bạn có thể xem các chỉ số Kiểm tra ứng dụng cho những dịch vụ mà bạn sử dụng:
- Theo dõi các chỉ số yêu cầu Kiểm tra ứng dụng cho Cơ sở dữ liệu theo thời gian thực, Cloud Firestore, Cloud Storage và Authentication.
- Theo dõi các chỉ số yêu cầu Kiểm tra ứng dụng cho Cloud Functions.
Bật tính năng thực thi Kiểm tra ứng dụng
Khi hiểu rõ cách Kiểm tra ứng dụng sẽ ảnh hưởng đến người dùng và bạn đã sẵn sàng tiếp tục, bạn có thể bật chế độ thực thi Kiểm tra ứng dụng:
- Bật chế độ thực thi Kiểm tra ứng dụng cho Cơ sở dữ liệu theo thời gian thực, Cloud Firestore, Cloud Storage và Xác thực.
- Bật chế độ thực thi Kiểm tra ứng dụng cho Cloud Functions.
Sử dụng Kiểm tra ứng dụng trong môi trường gỡ lỗi
Nếu muốn chạy ứng dụng trong một môi trường mà Kiểm tra ứng dụng thường không phân loại là hợp lệ (chẳng hạn như trình mô phỏng trong quá trình phát triển hoặc từ môi trường tích hợp liên tục (CI)) sau khi đăng ký ứng dụng cho Kiểm tra ứng dụng, bạn có thể tạo bản gỡ lỗi của ứng dụng sử dụng trình cung cấp gỡ lỗi Kiểm tra ứng dụng thay vì trình cung cấp chứng thực thực.
Xem phần Sử dụng tính năng Kiểm tra ứng dụng với nhà cung cấp gỡ lỗi trong các ứng dụng Flutter.