本頁面說明如何使用內建 App Attest 供應商,在 Apple 應用程式中啟用 App Check。啟用 App Check 可確保只有應用程式能存取專案的 Firebase 資源。請參閱這項功能的總覽。
App Check 會使用 App Attest 驗證對 Firebase 服務的要求是否來自真實的應用程式。App Check 目前不會使用 App Attest 分析詐欺風險。
如果您想搭配自訂供應商使用 App Check,請參閱「實作自訂 App Check 供應商」一文。
1. 設定 Firebase 專案
您需要 Xcode 12.5 以上版本才能使用 App Attest。
如果您尚未將 Firebase 新增至 Apple 專案,請先完成這項操作。
在 Firebase 控制台的 「App Check」部分,為應用程式註冊使用 App Check,以便與 App Attest 供應商搭配使用。
您通常需要註冊專案的所有應用程式,因為一旦為 Firebase 產品啟用強制執行功能,只有已註冊的應用程式可以存取產品的後端資源。
選用:在應用程式註冊設定中,針對供應商核發的 App Check 權杖設定自訂存留時間 (TTL)。存留時間可設為 30 分鐘至 7 天之間的任何值。變更這個值時,請注意以下優缺點:
- 安全性:縮短存留時間越短,安全性就越高,越能避免攻擊者濫用權杖。
- 效能:縮短存留時間 (TTL) 越短,應用程式執行認證的頻率就會越高。由於應用程式認證程序會在每次執行網路要求時增加延遲時間,因此短暫存留時間可能會影響應用程式的效能。
- 配額與費用:縮短存留時間 (TTL) 和頻繁的重新認證作業會更快消耗配額。如果是付費服務,費用可能會增加。請參閱配額與限制。
對大多數應用程式來說,預設的存留時間是 1 小時。請注意,App Check 程式庫會以約半時間的 TTL 更新權杖。
2. 在應用程式中加入 App Check 程式庫
將 App Check 的依附元件新增至專案的
Podfile:pod 'FirebaseAppCheck'
您也可以改用 Swift 套件管理員。
此外,也請確保您使用的其他 Firebase SDK 是最新版本。
執行
pod install,然後開啟建立的.xcworkspace檔案。在 Xcode 中,將 App Attest 功能新增至應用程式。
在專案的
.entitlements檔案中,將 App Attest 環境設為production。
3. 初始化 App Check
您必須先初始化 App Check,才能使用任何其他 Firebase SDK。
首先,編寫 AppCheckProviderFactory 的實作。實作的具體細節取決於您的用途。
舉例來說,如果您只想使用 iOS 14 或以上版本的使用者,只要建立 AppAttestProvider 物件即可:
Swift
注意:這項 Firebase 產品不適用於 watchOS 目標。
class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
return AppAttestProvider(app: app)
}
}Objective-C
注意:這項 Firebase 產品不適用於 watchOS 目標。
@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end
@implementation YourSimpleAppCheckProviderFactory
- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
return [[FIRAppAttestProvider alloc] initWithApp:app];
}
@end您也可以在 iOS 14 以上版本中建立 AppAttestProvider 物件,並在較舊版本中建立 DeviceCheckProvider:
Swift
注意:這項 Firebase 產品不適用於 watchOS 目標。
class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
if #available(iOS 14.0, *) {
return AppAttestProvider(app: app)
} else {
return DeviceCheckProvider(app: app)
}
}
}Objective-C
注意:這項 Firebase 產品不適用於 watchOS 目標。
@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end
@implementation YourAppCheckProviderFactory
- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
if (@available(iOS 14.0, *)) {
return [[FIRAppAttestProvider alloc] initWithApp:app];
} else {
return [[FIRDeviceCheckProvider alloc] initWithApp:app];
}
}
@end
實作 AppCheckProviderFactory 類別後,請將 App Check 設為使用這個類別:
Swift
注意:這項 Firebase 產品不適用於 watchOS 目標。
let providerFactory = YourAppCheckProviderFactory() AppCheck.setAppCheckProviderFactory(providerFactory) FirebaseApp.configure()
Objective-C
注意:這項 Firebase 產品不適用於 watchOS 目標。
YourAppCheckProviderFactory *providerFactory =
[[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];
[FIRApp configure];後續步驟
在應用程式中安裝 App Check 程式庫後,即可開始向使用者發布更新的應用程式。
更新後的用戶端應用程式將開始傳送 App Check 權杖,以及對 Firebase 發出的每個要求,但您在 Firebase 控制台的「App Check」部分啟用強制執行後,Firebase 產品就不會要求權杖有效。
監控指標並啟用強制執行功能
不過,在強制執行之前,您應先確認這樣做不會影響現有的合法使用者。另一方面,如果您發現應用程式資源遭到濫用,建議您盡早啟用強制執行功能。
為做出此決定,您可以查看所用服務的 App Check 指標:
- 針對即時資料庫、Cloud Firestore、Cloud Storage 和驗證 (Beta 版) 監控 App Check 要求指標。
- 監控 Cloud Functions 的 App Check 要求指標。
啟用強制執行 App Check
瞭解 App Check 會對使用者造成哪些影響,您已準備好進行後續步驟時,可以啟用 App Check 強制執行功能:
- 針對即時資料庫、Cloud Firestore、Cloud Storage 和驗證 (Beta 版),啟用 App Check 強制執行功能。
- 啟用 Cloud Functions 的 App Check 強制執行功能。
在偵錯環境中使用 App Check
為應用程式註冊 App Check 後,如果您想在 App Check 通常無法歸類為有效的環境中執行應用程式 (例如開發期間的模擬器,或是從持續整合 (CI) 環境),則可以建立使用 App Check 偵錯供應商 (而非實際認證供應商) 的應用程式偵錯版本。
請參閱「搭配 Apple 平台上的偵錯供應商使用 App Check」一文。