תחילת השימוש ב-App Check עם App Attest בפלטפורמות של Apple

בדף הזה מוסבר איך להפעיל את App Check באפליקציה ל-Apple באמצעות ספק App Attest המובנה. כשמפעילים את App Check, מוודאים שרק האפליקציה שלכם יכולה לגשת למשאבים של הפרויקט ב-Firebase. סקירה כללית של התכונה

‫App Check משתמש ב-App Attest כדי לוודא שהבקשות לשירותי Firebase מגיעות מהאפליקציה המקורית שלכם. נכון לעכשיו, App Check לא משתמש ב-App Attest כדי לנתח את הסיכון להונאה.

אם אתם רוצים להשתמש ב-App Check עם ספק מותאם אישית משלכם, תוכלו לעיין במאמר בנושא הטמעה של ספק App Check מותאם אישית.

1. הגדרת פרויקט Firebase

1. כדי להשתמש ב-App Attest, צריך Xcode בגרסה 12.5 ומעלה.

2. אם עדיין לא עשיתם זאת, מוסיפים את Firebase לפרויקט Apple.

3. רושמים את האפליקציות לשימוש ב-App Check אצל ספק App Attest בקטע App Check במסוף Firebase.

   בדרך כלל צריך לרשום את כל האפליקציות בפרויקט, כי אחרי שמפעילים אכיפה של מוצר Firebase, רק אפליקציות רשומות יכולות לגשת למשאבי ה-Backend של המוצר.

4. אופציונלי: בהגדרות של רישום האפליקציה, מגדירים אורך חיים (TTL) בהתאמה אישית לטוקנים של App Check שהונפקו על ידי הספק. אפשר להגדיר את ה-TTL לכל ערך בין 30 דקות ל-7 ימים. כשמשנים את הערך הזה, חשוב להביא בחשבון את הפשרות הבאות:

   • אבטחה: ערכי TTL קצרים יותר מספקים אבטחה חזקה יותר, כי הם מצמצמים את חלון הזמן שבו תוקף יכול לנצל לרעה אסימון שדלף או נחטף.
   • ביצועים: ערכי TTL קצרים יותר אומרים שהאפליקציה תבצע אימות בתדירות גבוהה יותר. תהליך אימות האפליקציה מוסיף זמן אחזור לבקשות רשת בכל פעם שהוא מתבצע, ולכן ערך TTL קצר יכול להשפיע על ביצועי האפליקציה.
   • מכסת נתונים ועלות: ערכי TTL קצרים ואימות חוזר תכוף מרוקנים את מכסת הנתונים מהר יותר, ובשירותים בתשלום, עלולים לעלות יותר. מידע נוסף זמין במאמר מכסות ומגבלות.

   ערך ברירת המחדל של TTL הוא שעה אחת, והוא מתאים לרוב האפליקציות. הערה: ספריית App Check מרעננת את האסימונים בערך במחצית משך ה-TTL.

2. הוספת ספריית App Check לאפליקציה

1. מוסיפים את יחסי התלות של App Check לקובץ Podfile של הפרויקט:

   pod 'FirebaseAppCheck'

   אפשר גם להשתמש ב-Swift Package Manager.

   חשוב לוודא שאתם משתמשים גם בגרסה העדכנית ביותר של כל Firebase SDK אחר שאתם מסתמכים עליו.

2. מריצים את הפקודה pod install ופותחים את הקובץ .xcworkspace שנוצר.

3. ב-Xcode, מוסיפים את היכולת App Attest לאפליקציה.

4. בקובץ .entitlements של הפרויקט, מגדירים את סביבת App Attest לערך production.

3. אתחול App Check

צריך להפעיל את App Check לפני שמשתמשים ב-SDK אחר של Firebase.

קודם כל, כותבים הטמעה של AppCheckProviderFactory. הפרטים הספציפיים של ההטמעה תלויים בתרחיש לדוגמה.

לדוגמה, אם יש לכם רק משתמשים ב-iOS 14 ואילך, אתם יכולים פשוט ליצור תמיד אובייקטים מסוג AppAttestProvider:

class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return AppAttestProvider(app: app)
  }
}

@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourSimpleAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  return [[FIRAppAttestProvider alloc] initWithApp:app];
}

@end

לחלופין, אפשר ליצור אובייקטים של AppAttestProvider ב-iOS 14 ואילך, ולחזור ל-DeviceCheckProvider בגרסאות קודמות:

class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    if #available(iOS 14.0, *) {
      return AppAttestProvider(app: app)
    } else {
      return DeviceCheckProvider(app: app)
    }
  }
}

@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  if (@available(iOS 14.0, *)) {
    return [[FIRAppAttestProvider alloc] initWithApp:app];
  } else {
    return [[FIRDeviceCheckProvider alloc] initWithApp:app];
  }
}

@end

אחרי שמטמיעים מחלקה מסוג AppCheckProviderFactory, מגדירים את App Check כך שישתמש בה:

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

השלבים הבאים

אחרי שמתקינים את ספריית App Check באפליקציה, מתחילים להפיץ את האפליקציה המעודכנת למשתמשים.

אפליקציית הלקוח המעודכנת תתחיל לשלוח טוקנים של App Check עם כל בקשה שהיא שולחת ל-Firebase, אבל מוצרי Firebase לא ידרשו שהטוקנים יהיו תקפים עד שתפעילו את האכיפה בקטע App Check במסוף Firebase.

מעקב אחרי מדדים והפעלת אכיפה

עם זאת, לפני שמפעילים את האכיפה, צריך לוודא שהפעולה הזו לא תשבש את הפעילות של משתמשים לגיטימיים קיימים. מצד שני, אם אתם רואים שימוש חשוד במשאבי האפליקציה, כדאי להפעיל את האכיפה מוקדם יותר.

כדי לקבל החלטה מושכלת, אפשר לעיין במדדים של App Check השירותים שבהם אתם משתמשים:

• מעקב אחרי מדדי בקשות של App Check עבור Firebase AI Logic,‏ Data Connect,‏ Realtime Database,‏ Cloud Firestore,‏ Cloud Storage,‏ Authentication,‏ Google Identity for iOS,‏ Maps JavaScript API ו-Places API (חדש).
• מעקב אחרי מדדי בקשות של App Check ל-Cloud Functions.

הפעלת האכיפה של App Check

אחרי שתבינו איך App Check ישפיע על המשתמשים שלכם ותהיו מוכנים להמשיך, תוכלו להפעיל את האכיפה של App Check:

• הפעלת אכיפה של App Check עבור Firebase AI Logic,‏ Data Connect,‏ Realtime Database,‏ Cloud Firestore,‏ Cloud Storage,‏ Authentication,‏ Google Identity for iOS,‏ Maps JavaScript API ו-Places API (חדש).
• הפעלת אכיפה של App Check עבור Cloud Functions.

שימוש ב-App Check בסביבות ניפוי באגים

אם אחרי שרשמתם את האפליקציה שלכם ל-App Check, אתם רוצים להריץ אותה בסביבה שApp Check בדרך כלל לא מסווגת כתקפה, כמו סימולטור במהלך הפיתוח או מסביבת שילוב רציף (CI), אתם יכולים ליצור גרסת debug של האפליקציה שמשתמשת בספק debug של App Check במקום בספק אימות אמיתי.

מידע נוסף זמין במאמר בנושא שימוש ב-App Check עם ספק ניפוי הבאגים בפלטפורמות של אפל.