Après avoir ajouté la bibliothèque App Check à votre application, mais avant d'activer l'application App Check, vous devez vous assurer que cela n'entraînera pas de perturbation pour vos utilisateurs légitimes existants.
Pour prendre cette décision, vous pouvez utiliser les métriques de requête App Check. Vous pouvez surveiller les métriques App Check dans ou dans la console Firebase.
Surveiller les métriques dans
Pour afficher les métriques de votre client OAuth iOS, accédez à la vue de modification du client sur la page Identifiants. Vous y trouverez les métriques à droite de la page, sous la section Identité Google pour iOS. Ces métriques vous permettront de consulter les métriques de vos requêtes App Check. Les métriques incluent les informations suivantes:
- Nombre de requêtes validées : requêtes associées à un jeton App Check valide. Une fois l'application App Check activée, seules les requêtes de cette catégorie aboutiront.
- Nombre de requêtes non validées : requêtes client obsolètes : requêtes non associées à un jeton App Check. Ces requêtes peuvent provenir d'une ancienne version de votre application qui n'inclut pas d'implémentation App Check.
- Nombre de requêtes non validées : requêtes d'origine inconnue : requêtes non associées à un jeton App Check qui ne semblent pas provenir de votre application.
- Nombre de requêtes non validées : requêtes non valides : requêtes associées à un jeton App Check non valide, qui peuvent provenir d'un client non authentique tentant de se faire passer pour votre application, ou d'environnements d'émulation.
Surveiller les métriques dans la console Firebase
Vous pouvez afficher les métriques de vos projets dans leur ensemble ou pour des clients OAuth individuels:
Pour afficher les métriques des requêtes App Check pour votre projet, ouvrez la section App Check de la console Firebase, puis développez la section Identité Google pour iOS. Exemple :
Pour afficher les métriques des requêtes App Check pour un client OAuth spécifique, ouvrez la page Clients OAuth de la console Firebase, puis développez la section correspondant au client.
Les métriques de requête sont réparties en quatre catégories:
Les requêtes validées sont celles associées à un jeton App Check valide. Une fois l'application App Check activée, seules les requêtes de cette catégorie aboutiront.
Les requêtes client obsolète sont celles qui ne sont pas associées à un jeton App Check. Ces requêtes peuvent provenir d'une ancienne version du SDK Firebase avant qu'App Check ne soit intégré à l'application.
Les requêtes d'origine inconnue sont celles qui ne sont pas associées à un jeton App Check et qui ne semblent pas provenir du SDK Firebase. Il peut s'agir de requêtes effectuées avec des clés API volées ou de requêtes falsifiées effectuées sans le SDK Firebase.
Les requêtes non valides sont celles qui sont associées à un jeton App Check non valide, qui peut provenir d'un client non authentique tentant de se faire passer pour votre application ou d'environnements d'émulation.
La répartition de ces catégories pour votre application doit vous aider à décider quand activer l'application. Voici quelques consignes :
Si la quasi-totalité des requêtes récentes provient de clients validés, envisagez d'activer la validation pour commencer à protéger vos points de terminaison d'authentification.
Si une partie importante des requêtes récentes provient de clients probablement obsolètes, envisagez d'attendre que davantage d'utilisateurs mettent à jour votre application avant d'activer l'application. L'application d'App Check à une application publiée entraîne la corruption des versions précédentes de l'application qui ne sont pas intégrées au SDK App Check.
Si votre application n'a pas encore été lancée, vous devez activer immédiatement l'application de vérification, car aucun client obsolète n'est utilisé.
Étapes suivantes
Une fois que vous avez compris l'impact d'App Check sur vos utilisateurs et que vous êtes prêt à continuer, vous pouvez activer l'application App Check.