Dopo aver aggiunto la libreria App Check alla tua app, ma prima di attivare l'applicazione forzata di App Check, assicurati che questa operazione non danneggi gli utenti legittimi esistenti.
Uno strumento importante che puoi utilizzare per prendere questa decisione sono le metriche delle richieste di App Check. Puoi monitorare le metriche di App Check in Google API Console o nella Console Firebase.
Monitora le metriche in Google API Console
Per visualizzare le metriche del client OAuth per iOS, vai alla visualizzazione di modifica del client nella pagina Credenziali. Vedrai le metriche sulla parte destra della pagina nella sezione Identità Google per iOS. Queste metriche mostrano le metriche delle richieste App Check. Le metriche includono le seguenti informazioni:
- Numero di richieste verificate: richieste con un token App Check valido. Dopo aver attivato l'applicazione di App Check, solo le richieste in questa categoria andranno a buon fine.
- Numero di richieste non verificate: richieste client probabilmente obsolete: richieste senza un token App Check; queste richieste potrebbero provenire da una versione precedente dell'app che non include un'implementazione di App Check.
- Numero di richieste non verificate: richieste di origini sconosciute: richieste senza un token App Check che non sembrano provenire dalla tua app.
- Numero di richieste non verificate: richieste non valide: richieste con un token App Check non valido, probabilmente provenienti da un client non autentico che cerca di passare per la tua app o da ambienti emulati.
Monitorare le metriche nella Console Firebase
Puoi visualizzare le metriche per i tuoi progetti nel loro complesso o per singoli client OAuth:
Per visualizzare le metriche delle richieste di App Check per il tuo progetto, apri la sezione App Check della Console Firebase ed espandi la sezione Identità Google per iOS. Ad esempio:
Per visualizzare le metriche delle richieste di App Check per un client OAuth specifico, apri la pagina Client OAuth della Console Firebase ed espandi la sezione corrispondente al client.
Le metriche relative alle richieste sono suddivise in quattro categorie:
Le richieste verificate sono quelle che dispongono di un token App Check valido. Dopo aver attivato l'applicazione forzata di App Check, verranno accettate solo le richieste in questa categoria.
Le richieste di client obsoleti sono quelle per le quali manca un token App Check. Queste richieste potrebbero provenire da una versione precedente dell'SDK Firebase prima dell'inclusione di App Check nell'app.
Le richieste con origine sconosciuta sono quelle prive di un token App Check e che non sembrano provenire dall'SDK Firebase. Potrebbero essere richieste effettuate con chiavi API rubate o richieste contraffatte effettuate senza l'SDK Firebase.
Le richieste non valide sono quelle con un token App Check non valido, che potrebbe provenire da un client non autentico che tenta di assomigliare alla tua app o da ambienti emulati.
La distribuzione di queste categorie per la tua app dovrebbe essere presa in considerazione quando decidi di attivare l'applicazione delle norme. Di seguito sono riportate alcune linee guida:
Se quasi tutte le richieste recenti provengono da client verificati, valuta la possibilità di attivare l'applicazione delle norme per iniziare a proteggere i tuoi endpoint di autenticazione.
Se una parte significativa delle richieste recenti proviene da client probabilmente obsoleti, per evitare di interrompere gli utenti, ti consigliamo di attendere che un maggior numero di utenti aggiorni la tua app prima di attivare l'applicazione forzata. L'applicazione forzata di App Check a un'app rilasciata interromperà le versioni precedenti dell'app non integrate con l'SDK App Check.
Se la tua app non è ancora stata lanciata, devi attivare immediatamente l'applicazione di App Check, poiché non sono in uso client obsoleti.
Passaggi successivi
Quando hai compreso in che modo App Check influirà sui tuoi utenti e sei pronto a procedere, puoi abilitare l'applicazione di App Check.