Depois de adicionar a biblioteca do App Check ao seu app, mas antes de ativar a aplicação do App Check, verifique se isso não vai interromper seus usuários legítimos atuais.
Uma ferramenta importante que pode ser usada para tomar essa decisão são as métricas de solicitação do App Check. É possível monitorar as métricas do App Check no Google API Console ou no Console do Firebase.
Monitorar métricas no Google API Console
Para conferir as métricas do seu cliente OAuth para iOS, navegue até a visualização de edição do cliente na página de credenciais. Nela, você vai encontrar métricas à direita da página na seção Identidade do Google para iOS. Essas métricas mostram as métricas de solicitação do App Check. As métricas incluem as seguintes informações:
- Número de solicitações verificadas: solicitações com um token válido do App Check. Depois de ativar a aplicação do App Check, apenas as solicitações nessa categoria serão bem-sucedidas.
- Número de solicitações não verificadas: solicitações de cliente possivelmente desatualizadas: solicitações sem um token do App Check. Essas solicitações podem ser de uma versão mais antiga do app que não inclui uma implementação do App Check.
- Número de solicitações não verificadas: origem desconhecida: solicitações sem um token do App Check que não parecem ser do seu app.
- Número de solicitações não verificadas: solicitações inválidas: solicitações com um token inválido do App Check, que podem ser de um cliente não autêntico que tenta se passar pelo seu app ou de ambientes emulados.
Monitorar métricas no Console do Firebase
É possível conferir as métricas dos seus projetos como um todo ou de clientes OAuth individuais:
Para conferir as métricas de solicitação do App Check do seu projeto, abra a seção App Check do Console do Firebase e expanda a seção Identidade do Google para iOS. Exemplo:
Para conferir as métricas de solicitação do App Check de um cliente OAuth específico, abra a página Clientes OAuth do Console do Firebase e expanda a seção correspondente ao cliente.
As métricas de solicitação são divididas em quatro categorias:
As solicitações Verificadas são aquelas que têm um token válido do App Check. Depois de ativar a aplicação do App Check, apenas as solicitações nessa categoria serão bem-sucedidas.
As solicitações de cliente desatualizado são aquelas que não têm um token do App Check. Essas solicitações podem ser de uma versão mais antiga do SDK do Firebase antes da inclusão do App Check no app.
As solicitações de origem desconhecida são aquelas que não têm um token do App Check e que não parecem ser do SDK do Firebase. Isso pode ocorrer por solicitações feitas com chaves de API roubadas ou solicitações forjadas que não têm o SDK do Firebase.
Solicitações inválidas são aquelas que têm um token inválido do App Check, que pode ser de um cliente inautêntico tentando se passar por seu app ou de ambientes emulados.
A distribuição dessas categorias para seu app precisa ser informada quando você decidir ativar a aplicação. Veja algumas recomendações:
Se quase todas as solicitações recentes forem de clientes verificados, ative a aplicação para começar a proteger seus endpoints de autenticação.
Se uma parte significativa das solicitações recentes for de clientes provavelmente desatualizados, para evitar possíveis interrupções, considere esperar que mais usuários atualizem seu app antes de ativar a aplicação. A aplicação do App Check em um app lançado vai quebrar as versões anteriores que não estiverem integradas ao SDK do App Check.
Caso seu app ainda não tenha sido lançado, ative a aplicação do App Check imediatamente, já que não há clientes desatualizados em uso.
Próximas etapas
Assim que você entender como o App Check vai afetar seus usuários e estiver tudo pronto para seguir o processo, ative a aplicação do App Check.