Supervisa las métricas de solicitudes de la Verificación de aplicaciones

Después de agregar la biblioteca de la Verificación de aplicaciones a la app, pero antes de habilitar la aplicación forzosa de la Verificación de aplicaciones, debes asegurarte de que esto no interrumpa a los usuarios legítimos existentes.

Una herramienta importante que puedes usar para tomar esta decisión son las métricas de solicitudes de la Verificación de aplicaciones. Puedes supervisar las métricas de App Check en Google API Console o Firebase console.

Supervisa las métricas en Google API Console

Para ver las métricas de tu cliente de OAuth para iOS, navega a la vista de edición del cliente en la página Credenciales. Allí, verás las métricas a la derecha de la página en la sección Google Identity para iOS. Estas métricas te mostrarán las métricas de las solicitudes de la Verificación de aplicaciones. Las métricas incluyen la siguiente información:

  • Cantidad de solicitudes verificadas: Solicitudes que tienen un token válido de Verificación de aplicaciones. Después de habilitar la aplicación forzosa de la Verificación de aplicaciones, solo se ejecutarán de manera correcta las solicitudes de esta categoría.
  • Cantidad de solicitudes no verificadas: solicitudes de cliente probablemente desactualizadas: Solicitudes a las que les falta un token de la Verificación de aplicaciones. Estas solicitudes pueden provenir de una versión anterior de tu app que no incluye una implementación de la Verificación de aplicaciones.
  • Cantidad de solicitudes no verificadas: Solicitudes de origen desconocido: Solicitudes a las que les falta un token de Verificación de aplicaciones y que no parecen provenir de tu app.
  • Cantidad de solicitudes no verificadas: solicitudes no válidas: Solicitudes con un token no válido de Verificación de aplicaciones, que puede provenir de un cliente falso que intenta hacerse pasar por tu app, o bien de entornos emulados.

Supervisa las métricas en Firebase console

Puedes ver las métricas de tus proyectos en su totalidad o de clientes de OAuth individuales:

  • Para ver las métricas de las solicitudes de la Verificación de aplicaciones de tu proyecto, abre la sección Verificación de aplicaciones de Firebase console y expande la sección Identidad de Google para iOS. Por ejemplo:

    Captura de pantalla de la página Métricas de la Verificación de aplicaciones

  • Para ver las métricas de las solicitudes de la Verificación de aplicaciones de un cliente de OAuth específico, abre la página Clientes de OAuth de Firebase console y expande la sección correspondiente al cliente.

Las métricas de solicitudes se dividen en cuatro categorías:

  • Las solicitudes verificadas son aquellas que tienen un token válido de la Verificación de aplicaciones. Después de habilitar la aplicación forzosa de la Verificación de aplicaciones, solo se ejecutarán de manera correcta las solicitudes de esta categoría.

  • Las solicitudes de cliente desactualizadas son aquellas a las que les falta un token de la Verificación de aplicaciones. Estas solicitudes pueden provenir de una versión anterior del SDK de Firebase antes de que se incluya la Verificación de aplicaciones en la app.

  • Las solicitudes de origen desconocido son aquellas a las que les falta un token de Verificación de aplicaciones y que no parecen provenir del SDK de Firebase. Estas pueden provenir de solicitudes realizadas con claves de API robadas o de solicitudes falsificadas realizadas sin el SDK de Firebase.

  • Las solicitudes no válidas son aquellas que tienen un token de Verificación de aplicaciones no válido, que puede ser desde un cliente falso que intenta hacerse pasar por tu app, o desde entornos emulados.

La distribución de estas categorías para la app debe informar cuándo decides habilitar la aplicación forzosa. Estos son algunos lineamientos:

  • Si casi todas las solicitudes recientes son de clientes verificados, considera habilitar la aplicación forzosa para comenzar a proteger tus extremos de autenticación.

  • Si una parte significativa de las solicitudes recientes es de clientes que probablemente estén desactualizados, considera esperar a que más usuarios actualicen la app antes de habilitar la aplicación forzosa. De esta forma, evitarás interrumpir a los usuarios. Si aplicas de manera forzosa la Verificación de aplicaciones en una app lanzada, se dañarán las versiones anteriores de la app que no estén integradas en el SDK de la Verificación de aplicaciones.

  • Si todavía no se lanzó la app, deberías habilitar la aplicación de la Verificación de aplicaciones de inmediato, ya que no hay clientes desactualizados en uso.

Próximos pasos

Cuando comprendas cómo la Verificación de aplicaciones afectará a los usuarios y tengas todo listo para continuar, puedes habilitar la aplicación forzosa de la Verificación de aplicaciones.