開始在 Apple 平台上，搭配使用 App Check 和 App Attest

本頁面說明如何使用內建的 App Attest 提供者，在 Apple 應用程式中啟用 App Check。啟用 App Check 後，只有您的應用程式才能存取專案的 Firebase 資源。請參閱這項功能的總覽。

App Check 會使用 App Attest 驗證傳送至 Firebase 服務的要求是否來自您的正版應用程式。App Check 目前不會使用 App Attest 分析詐欺風險。

如要搭配使用 App Check 和自訂供應商，請參閱實作自訂 App Check 供應商。

1. 設定 Firebase 專案

1. 您必須使用 Xcode 12.5 以上版本，才能使用 App Attest。

2. 如果您尚未將 Firebase 新增至 Apple 專案，請先新增。

3. 在 Firebase 控制台的「App Check」部分，為應用程式註冊透過 App Attest 供應商使用 App Check。

   您通常需要註冊專案的所有應用程式，因為一旦啟用 Firebase 產品的強制執行功能，只有已註冊的應用程式才能存取產品的後端資源。

4. 選用：在應用程式註冊設定中，為供應商核發的 App Check 權杖設定自訂存留時間 (TTL)。您可以將 TTL 設定為介於 30 分鐘至 7 天之間的任何值。變更這個值時，請注意下列取捨：

   • 安全性：存留時間越短，安全性就越高，因為這樣可縮短攻擊者濫用外洩或遭攔截權杖的時間範圍。
   • 效能：TTL 較短表示應用程式會更頻繁地執行認證。應用程式認證程序每次執行時，都會增加網路要求延遲時間，因此 TTL 較短可能會影響應用程式效能。
   • 配額和費用：TTL 較短且經常重新認證會更快耗盡配額，而且對於付費服務，可能需要支付更多費用。詳情請參閱「配額與限制」。

   大多數應用程式的預設 TTL 為 1 小時，請注意，App Check 程式庫會在 TTL 時間長度的一半左右重新整理權杖。

2. 將 App Check 程式庫新增至應用程式

1. 將 App Check 的依附元件新增至專案的 Podfile：

   pod 'FirebaseAppCheck'

   或者，您也可以改用 Swift Package Manager。

   請務必一併使用您依附的任何其他 Firebase SDK 最新版本。

2. 執行 pod install，然後開啟建立的 .xcworkspace 檔案。

3. 在 Xcode 中，將 App Attest 功能新增至應用程式。

4. 在專案的 .entitlements 檔案中，將 App Attest 環境設為 production。

3. 初始化 App Check

您必須先初始化 App Check，才能使用任何其他 Firebase SDK。

首先，請編寫 AppCheckProviderFactory 的實作項目。具體實作方式會因用途而異。

舉例來說，如果只有 iOS 14 以上版本的使用者，您可以一律建立 AppAttestProvider 物件：

class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return AppAttestProvider(app: app)
  }
}

@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourSimpleAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  return [[FIRAppAttestProvider alloc] initWithApp:app];
}

@end

或者，您可以在 iOS 14 以上版本建立 AppAttestProvider 物件，並在舊版中回溯至 DeviceCheckProvider：

class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    if #available(iOS 14.0, *) {
      return AppAttestProvider(app: app)
    } else {
      return DeviceCheckProvider(app: app)
    }
  }
}

@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  if (@available(iOS 14.0, *)) {
    return [[FIRAppAttestProvider alloc] initWithApp:app];
  } else {
    return [[FIRDeviceCheckProvider alloc] initWithApp:app];
  }
}

@end

實作 AppCheckProviderFactory 類別後，請設定 App Check 以使用該類別：

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

後續步驟

在應用程式中安裝 App Check 程式庫後，即可開始向使用者發布更新版應用程式。

更新後的用戶端應用程式會開始在每次向 Firebase 發出的要求中，一併傳送 App Check 權杖，但您必須在 Firebase 控制台的「App Check」App Check 部分啟用強制執行功能，Firebase 產品才會要求權杖有效。

監控指標並啟用強制執行功能

不過，啟用強制執行前，請先確認這麼做不會影響現有的合法使用者。另一方面，如果發現應用程式資源有可疑的使用情形，建議盡快啟用強制執行功能。

如要協助做出這項決定，您可以查看所用服務的 App Check 指標：

• 監控 App Check 要求的指標，適用於 Firebase AI Logic、Data Connect、Realtime Database、Cloud Firestore、Cloud Storage、Authentication、適用於 iOS 的 Google Identity、Maps JavaScript API 和 Places API (新版)。
• 監控 App Check Cloud Functions 的要求指標。

啟用App Check強制執行功能

瞭解 App Check 對使用者的影響後，即可啟用 App Check 強制執行：

• 針對 Firebase AI Logic、Data Connect、Realtime Database、Cloud Firestore、Cloud Storage、Authentication、Google Identity for iOS、Maps JavaScript API 和 Places API (新版)，啟用 App Check 強制執行。
• 為 Cloud Functions 啟用 App Check 強制執行功能。

在偵錯環境中使用 App Check

在註冊應用程式以使用 App Check 後，如果想在 App Check 通常不會歸類為有效的環境中執行應用程式 (例如開發期間的模擬器，或來自持續整合 (CI) 環境)，可以建立應用程式的偵錯版本，使用 App Check 偵錯供應器，而非實際的認證供應器。

請參閱「在 Apple 平台上搭配使用 App Check 與偵錯供應器」。