Отслеживание показателей запросов проверки приложений

После того как вы добавите библиотеку проверки приложений в свое приложение, но прежде чем включать принудительное применение проверки приложений, вы должны убедиться, что это не повлияет на работу существующих законных пользователей.

Важным инструментом, который вы можете использовать для принятия этого решения, являются метрики запросов проверки приложений. Вы можете отслеживать показатели проверки приложений вGoogle API Console или консоль Firebase .

Отслеживайте показатели в Google API Console

Чтобы просмотреть метрики для вашего клиента iOS OAuth, перейдите к представлению редактирования клиента на странице «Учетные данные» . Там вы увидите показатели справа на странице в разделе Google Identity для iOS . Эти метрики покажут вам метрики ваших запросов на проверку приложений. Метрики включают в себя следующую информацию:

  • Количество проверенных запросов — запросов, имеющих действительный токен проверки приложений. После включения принудительной проверки приложений успешны будут только запросы этой категории.
  • Количество непроверенных запросов: вероятно, устаревшие клиентские запросы — запросы, в которых отсутствует токен проверки приложений; этот запрос может исходить от более старой версии вашего приложения, которая не включает реализацию проверки приложений.
  • Количество непроверенных запросов: запросы неизвестного происхождения — запросы, в которых отсутствует токен проверки приложений, и которые не выглядят так, как будто они исходят из вашего приложения.
  • Количество непроверенных запросов: недействительные запросы — запросы с недействительным токеном проверки приложений, которые могут исходить от недостоверного клиента, пытающегося выдать себя за ваше приложение, или из эмулируемых сред.

Мониторинг показателей в консоли Firebase

Вы можете просмотреть показатели для своих проектов в целом или для отдельных клиентов OAuth:

  • Чтобы просмотреть показатели запросов проверки приложений для вашего проекта, откройте раздел «Проверка приложений» консоли Firebase и разверните раздел Google Identity для iOS . Например:

    Снимок экрана страницы показателей проверки приложений

  • Чтобы просмотреть метрики запросов проверки приложений для конкретного клиента OAuth, откройте страницу клиентов OAuth консоли Firebase и разверните раздел, соответствующий клиенту.

Метрики запросов разбиты на четыре категории:

  • Подтвержденные запросы — это запросы, имеющие действительный токен проверки приложений. После включения принудительной проверки приложений успешны будут только запросы этой категории.

  • Устаревшие клиентские запросы — это запросы, в которых отсутствует токен проверки приложений. Эти запросы могут быть из более старой версии Firebase SDK до того, как проверка приложений была включена в приложение.

  • Запросы неизвестного происхождения — это запросы, в которых отсутствует токен проверки приложений и которые не выглядят так, как будто они исходят из Firebase SDK. Это могут быть запросы, сделанные с использованием украденных ключей API, или поддельные запросы, сделанные без Firebase SDK.

  • Недействительными запросами являются запросы с недействительным токеном проверки приложений, который может быть отправлен неаутентичным клиентом, пытающимся выдать себя за ваше приложение, или из эмулируемых сред.

Распределение этих категорий для вашего приложения должно указывать на то, когда вы решите включить принудительное применение. Вот несколько рекомендаций:

  • Если почти все недавние запросы исходят от проверенных клиентов, рассмотрите возможность включения принудительного применения, чтобы начать защищать ваши конечные точки аутентификации.

  • Если значительная часть недавних запросов поступает от предположительно устаревших клиентов, чтобы не мешать работе пользователей, рассмотрите возможность дождаться, пока больше пользователей обновят ваше приложение, прежде чем включать принудительное применение. Принудительная проверка приложений для выпущенного приложения приведет к поломке предыдущих версий приложения, которые не интегрированы с SDK App Check.

  • Если ваше приложение еще не запущено, вам следует немедленно включить принудительное выполнение проверки приложений, поскольку устаревшие клиенты не используются.

Следующие шаги

Когда вы поймете, как проверка приложений повлияет на ваших пользователей, и будете готовы продолжить, вы сможете включить принудительное применение проверки приложений .