После того как вы добавите библиотеку проверки приложений в свое приложение, но прежде чем включать принудительное применение проверки приложений, вы должны убедиться, что это не помешает работе существующих законных пользователей.
Важным инструментом, который вы можете использовать для принятия этого решения, являются метрики запросов проверки приложений. Вы можете просмотреть показатели для своих проектов в целом или для отдельных клиентов OAuth:
Чтобы просмотреть показатели запросов проверки приложений для вашего проекта, откройте раздел «Проверка приложений» консоли Firebase и разверните раздел Google Identity для iOS . Например:
Чтобы просмотреть метрики запросов проверки приложений для конкретного клиента OAuth, откройте страницу клиентов OAuth в консоли Firebase и разверните раздел, соответствующий клиенту.
Метрики запросов разбиты на четыре категории:
Подтвержденные запросы — это запросы, имеющие действительный токен проверки приложений. После включения принудительной проверки приложений успешны будут только запросы этой категории.
Устаревшие клиентские запросы — это запросы, в которых отсутствует токен проверки приложений. Эти запросы могут быть из более старой версии Firebase SDK до того, как проверка приложений была включена в приложение.
Запросы неизвестного происхождения — это запросы, в которых отсутствует токен проверки приложений и которые не выглядят так, как будто они исходят из Firebase SDK. Это могут быть запросы, сделанные с использованием украденных ключей API, или поддельные запросы, сделанные без Firebase SDK.
Недействительными запросами являются запросы с недействительным токеном проверки приложений, который может быть отправлен неаутентичным клиентом, пытающимся выдать себя за ваше приложение, или из эмулируемых сред.
Распределение этих категорий для вашего приложения должно указывать на то, когда вы решите включить принудительное применение. Вот несколько рекомендаций:
Если почти все недавние запросы исходят от проверенных клиентов, рассмотрите возможность включения принудительного применения, чтобы начать защищать ваши конечные точки аутентификации.
Если значительная часть недавних запросов поступает от предположительно устаревших клиентов, чтобы не мешать работе пользователей, рассмотрите возможность дождаться, пока больше пользователей обновят ваше приложение, прежде чем включать принудительное применение. Принудительная проверка приложений для выпущенного приложения приведет к поломке предыдущих версий приложения, которые не интегрированы с SDK App Check.
Если ваше приложение еще не запущено, вам следует немедленно включить принудительное выполнение проверки приложений, поскольку устаревшие клиенты не используются.
Следующие шаги
Когда вы поймете, как проверка приложений повлияет на ваших пользователей, и будете готовы продолжить, вы сможете включить принудительное применение проверки приложений .