قم بتمكين التحقق من التطبيق باستخدام App Attest على أنظمة Apple الأساسية

توضح لك هذه الصفحة كيفية تمكين التحقق من التطبيق في تطبيق Apple ، باستخدام موفر App Attest المدمج. عند تمكين التحقق من التطبيق ، فإنك تساعد في التأكد من أن تطبيقك هو الوحيد الذي يمكنه الوصول إلى موارد Firebase لمشروعك. انظر نظرة عامة على هذه الميزة.

يستخدم التحقق من التطبيق App Attest للتحقق من أن الطلبات إلى خدمات Firebase تأتي من تطبيقك الأصلي. لا يستخدم App Check حاليًا App Attest لتحليل مخاطر الاحتيال .

إذا كنت تريد استخدام التحقق من التطبيق مع الموفر المخصص الخاص بك ، فراجع تنفيذ موفر فحص التطبيق المخصص .

1. قم بإعداد مشروع Firebase

  1. ستحتاج إلى Xcode 12.5+ لاستخدام App Attest.

  2. أضف Firebase إلى مشروع Apple الخاص بك إذا لم تكن قد قمت بذلك بالفعل.

  3. سجّل تطبيقاتك لاستخدام App Check مع موفر App Attest في قسم App Check في وحدة تحكم Firebase.

    تحتاج عادةً إلى تسجيل جميع تطبيقات مشروعك ، لأنه بمجرد تمكينك لتطبيق تطبيق Firebase ، ستتمكن التطبيقات المسجلة فقط من الوصول إلى موارد الواجهة الخلفية للمنتج.

  4. اختياري : في إعدادات تسجيل التطبيق ، قم بتعيين مدة مخصصة للعيش (TTL) لرموز التحقق من التطبيق الصادرة عن الموفر. يمكنك ضبط TTL على أي قيمة تتراوح بين 30 دقيقة و 7 أيام. عند تغيير هذه القيمة ، انتبه للمفاضلات التالية:

    • الأمان: توفر TTLs الأقصر أمانًا أقوى ، لأنها تقلل الفترة التي يمكن فيها للمهاجم إساءة استخدام رمز تم تسريبه أو اعتراضه.
    • الأداء: تعني مدة البقاء (TTL) الأقصر أن تطبيقك سيجري المصادقة بشكل متكرر أكثر. نظرًا لأن عملية التصديق على التطبيق تضيف وقت استجابة لطلبات الشبكة في كل مرة يتم إجراؤها ، يمكن أن تؤثر مدة البقاء القصيرة على أداء تطبيقك.
    • الحصة والتكلفة: تستنفد مدة البقاء القصيرة وإعادة التصديق المتكررة حصتك بشكل أسرع ، وبالنسبة للخدمات المدفوعة ، من المحتمل أن تكلف أكثر. انظر الحصص والحدود .

    مدة البقاء الافتراضية لمدة ساعة واحدة مناسبة لمعظم التطبيقات. لاحظ أن مكتبة App Check تقوم بتحديث الرموز المميزة في نصف مدة TTL تقريبًا.

2. قم بإضافة مكتبة App Check إلى تطبيقك

  1. أضف تبعية App Check إلى Podfile الخاص بمشروعك:

    pod 'FirebaseAppCheck'

    أو ، بدلاً من ذلك ، يمكنك استخدام Swift Package Manager بدلاً من ذلك.

    تأكد من أنك تستخدم أيضًا أحدث إصدار من أي مجموعات Firebase SDK أخرى تعتمد عليها.

  2. قم بتشغيل pod install وافتح ملف .xcworkspace الذي تم إنشاؤه.

  3. في Xcode ، أضف إمكانية App Attest إلى تطبيقك.

  4. في ملف .entitlements الخاص بمشروعك ، قم بتعيين بيئة App Attest على production .

3. تهيئة فحص التطبيق

ستحتاج إلى تهيئة "التحقق من التطبيق" قبل استخدام أي مجموعات Firebase SDK أخرى.

أولاً ، اكتب تطبيق AppCheckProviderFactory . ستعتمد تفاصيل التنفيذ على حالة الاستخدام الخاصة بك.

على سبيل المثال ، إذا كان لديك مستخدمون فقط على نظام التشغيل iOS 14 والإصدارات الأحدث ، فيمكنك دائمًا إنشاء كائنات AppAttestProvider :

سويفت

ملاحظة: منتج Firebase هذا غير متاح على أهداف watchOS.

class YourSimpleAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    return AppAttestProvider(app: app)
  }
}

ج موضوعية

ملاحظة: منتج Firebase هذا غير متاح على أهداف watchOS.

@interface YourSimpleAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourSimpleAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  return [[FIRAppAttestProvider alloc] initWithApp:app];
}

@end

أو يمكنك إنشاء كائنات AppAttestProvider على iOS 14 والإصدارات الأحدث ، والعودة إلى DeviceCheckProvider في الإصدارات السابقة:

سويفت

ملاحظة: منتج Firebase هذا غير متاح على أهداف watchOS.

class YourAppCheckProviderFactory: NSObject, AppCheckProviderFactory {
  func createProvider(with app: FirebaseApp) -> AppCheckProvider? {
    if #available(iOS 14.0, *) {
      return AppAttestProvider(app: app)
    } else {
      return DeviceCheckProvider(app: app)
    }
  }
}

ج موضوعية

ملاحظة: منتج Firebase هذا غير متاح على أهداف watchOS.

@interface YourAppCheckProviderFactory : NSObject <FIRAppCheckProviderFactory>
@end

@implementation YourAppCheckProviderFactory

- (nullable id<FIRAppCheckProvider>)createProviderWithApp:(nonnull FIRApp *)app {
  if (@available(iOS 14.0, *)) {
    return [[FIRAppAttestProvider alloc] initWithApp:app];
  } else {
    return [[FIRDeviceCheckProvider alloc] initWithApp:app];
  }
}

@end

بعد تنفيذ فئة AppCheckProviderFactory ، قم بتكوين App Check لاستخدامها:

سويفت

ملاحظة: منتج Firebase هذا غير متاح على أهداف watchOS.

let providerFactory = YourAppCheckProviderFactory()
AppCheck.setAppCheckProviderFactory(providerFactory)

FirebaseApp.configure()

ج موضوعية

ملاحظة: منتج Firebase هذا غير متاح على أهداف watchOS.

YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
[FIRAppCheck setAppCheckProviderFactory:providerFactory];

[FIRApp configure];

بمجرد تثبيت مكتبة App Check في تطبيقك ، ابدأ في توزيع التطبيق المحدث على المستخدمين.

سيبدأ تطبيق العميل المحدث في إرسال رموز التحقق من التطبيق جنبًا إلى جنب مع كل طلب يقدمه إلى Firebase ، لكن منتجات Firebase لن تتطلب أن تكون الرموز المميزة صالحة حتى تقوم بتمكين التنفيذ في قسم التحقق من التطبيق في وحدة تحكم Firebase. انظر القسمين التاليين للحصول على التفاصيل.

5. مقاييس مراقبة الطلب

الآن بعد أن أصبح تطبيقك المحدث في أيدي المستخدمين ، يمكنك تمكين فرض التحقق من التطبيق لمنتجات Firebase التي تستخدمها. ومع ذلك ، قبل القيام بذلك ، يجب أن تتأكد من أن القيام بذلك لن يؤدي إلى تعطيل المستخدمين الشرعيين الحاليين لديك.

قاعدة بيانات Realtime و Cloud Firestore والتخزين السحابي

أداة مهمة يمكنك استخدامها لاتخاذ هذا القرار لقاعدة بيانات Realtime و Cloud Firestore و Cloud Storage هي شاشة مقاييس طلب التحقق من التطبيق.

لعرض مقاييس طلب فحص التطبيق لمنتج ما ، افتح قسم فحص التطبيق في وحدة تحكم Firebase. فمثلا:

لقطة شاشة لصفحة مقاييس التحقق من التطبيق

مقاييس الطلب لكل منتج مقسمة إلى أربع فئات:

  • الطلبات التي تم التحقق منها هي تلك التي تحتوي على رمز مميز صالح للتحقق من التطبيق. بعد تمكين فرض التحقق من التطبيق ، ستنجح الطلبات في هذه الفئة فقط.

  • طلبات العملاء القديمة هي تلك التي تفتقد إلى رمز التحقق من التطبيق. قد تكون هذه الطلبات من إصدار أقدم من Firebase SDK قبل تضمين App Check في التطبيق.

  • طلبات الأصل غير المعروفة هي تلك التي تفتقد إلى رمز مميز للتحقق من التطبيق ، ولا يبدو أنها تأتي من Firebase SDK. قد تكون هذه من طلبات تم إجراؤها باستخدام مفاتيح واجهة برمجة تطبيقات مسروقة أو طلبات مزورة تم إجراؤها بدون Firebase SDK.

  • الطلبات غير الصالحة هي الطلبات التي تحتوي على رمز مميز غير صالح لفحص التطبيق ، والذي قد يكون من عميل غير أصلي يحاول انتحال شخصية تطبيقك ، أو من بيئات تمت محاكاتها.

يجب أن يبلغ توزيع هذه الفئات لتطبيقك عندما تقرر تمكين الإنفاذ. فيما يلي بعض الإرشادات:

  • إذا كانت جميع الطلبات الأخيرة تقريبًا من عملاء تم التحقق منهم ، ففكر في تمكين التنفيذ لبدء حماية موارد الواجهة الخلفية.

  • إذا كان جزء كبير من الطلبات الأخيرة من عملاء محتمل عفا عليها الزمن ، لتجنب إزعاج المستخدمين ، ففكر في انتظار المزيد من المستخدمين لتحديث تطبيقك قبل تمكين التنفيذ. سيؤدي فرض فحص التطبيق على تطبيق تم إصداره إلى كسر إصدارات التطبيق السابقة التي لم يتم دمجها مع App Check SDK.

  • إذا لم يتم تشغيل تطبيقك بعد ، فيجب عليك تمكين فرض التحقق من التطبيق على الفور ، نظرًا لعدم وجود أي عملاء قديمين قيد الاستخدام.

وظائف السحابة

بالنسبة إلى وظائف السحابة ، يمكنك الحصول على مقاييس التحقق من التطبيق عن طريق فحص سجلات وظائفك. يصدر كل استدعاء لوظيفة قابلة للاستدعاء إدخال سجل منظم مثل المثال التالي:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

يمكنك تحليل هذه المقاييس في Google Cloud Console عن طريق إنشاء مقياس عداد قائم على السجلات باستخدام مرشح المقاييس التالي:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

قم بتسمية المقياس باستخدام الحقل jsonPayload.verifications.appCheck .

6. تمكين الإنفاذ

لتمكين التنفيذ ، اتبع التعليمات الخاصة بكل منتج أدناه. بمجرد تمكين فرض لمنتج ما ، سيتم رفض جميع الطلبات التي لم يتم التحقق منها لهذا المنتج.

قاعدة بيانات Realtime و Cloud Firestore والتخزين السحابي

لتمكين فرض تطبيق Realtime Database و Cloud Firestore (iOS و Android) والتخزين السحابي:

  1. افتح قسم فحص التطبيق في وحدة تحكم Firebase.

  2. قم بتوسيع عرض المقاييس للمنتج الذي تريد تمكين فرضه.

  3. انقر فوق فرض وقم بتأكيد اختيارك.

لاحظ أن الأمر قد يستغرق ما يصل إلى 15 دقيقة بعد تمكين التنفيذ حتى يتم تفعيله.

وظائف السحابة

راجع تمكين فرض التحقق من التطبيق لوظائف السحابة .

الخطوات التالية

إذا كنت ترغب ، بعد تسجيل تطبيقك في App Check ، في تشغيل التطبيق في بيئة لا يصنفها App Check عادةً على أنها صالحة ، مثل جهاز محاكاة أثناء التطوير ، أو من بيئة تكامل مستمرة (CI) ، يمكنك إنشاء إصدار تصحيح لتطبيقك يستخدم موفر تصحيح أخطاء App Check بدلاً من موفر تصديق حقيقي.

راجع استخدام التحقق من التطبيق مع موفر تصحيح الأخطاء على أنظمة Apple الأساسية .