ใช้ App Check เพื่อรักษาคีย์ API ให้ปลอดภัย
Firebase App Check ช่วยปกป้องการเรียกจากแอปของคุณไปยัง Google Maps Platform โดยการบล็อกการเข้าชมที่มาจากแหล่งที่มาอื่นที่ไม่ใช่แอปที่ถูกต้องตามกฎหมาย โดยจะตรวจสอบโทเค็นจากผู้ให้บริการการรับรอง เช่น reCAPTCHA Enterprise การผสานรวมแอปกับ App Check จะช่วยป้องกันคำขอที่เป็นอันตราย คุณจึงไม่ถูกเรียกเก็บเงินสำหรับการเรียก API ที่ไม่ได้รับอนุญาต
App Check เหมาะกับฉันไหม
เราขอแนะนำให้ใช้ App Check ในกรณีส่วนใหญ่ แต่ไม่จำเป็นต้องใช้หรือระบบไม่รองรับในกรณีต่อไปนี้
- แอปส่วนตัวหรือแอปทดลอง หากแอปของคุณไม่สามารถเข้าถึงได้แบบสาธารณะ ก็ไม่จำเป็นต้องใช้ App Check
- หากแอปของคุณใช้เฉพาะการสื่อสารระหว่างเซิร์ฟเวอร์กับเซิร์ฟเวอร์ ก็ไม่จำเป็นต้องใช้ App Check อย่างไรก็ตาม หากไคลเอ็นต์สาธารณะ (เช่น แอปบนอุปกรณ์เคลื่อนที่) ใช้เซิร์ฟเวอร์ที่สื่อสารกับ GMP ให้พิจารณาใช้ App Check เพื่อปกป้องเซิร์ฟเวอร์นั้นแทน GMP
ภาพรวมของขั้นตอนการใช้งาน
ขั้นตอนระดับสูงที่คุณต้องทำเพื่อผสานรวมแอปกับ App Check มีดังนี้
- เพิ่ม Firebase ไปยังแอป
- เพิ่มและเริ่มต้นใช้งานไลบรารี App Check
- เพิ่มผู้ให้บริการโทเค็นลงในแอป
- เริ่มต้นใช้งาน Maps JS และ App Check API
- เปิดใช้การแก้ไขข้อบกพร่อง
- ตรวจสอบคำขอของแอปและตัดสินใจว่าจะบังคับใช้หรือไม่
เมื่อผสานรวมกับ App Check แล้ว คุณจะเห็นเมตริกการเข้าชมแบ็กเอนด์ในคอนโซล Firebase เมตริกเหล่านี้จะแสดงรายละเอียดคำขอตามว่าคำขอนั้นมาพร้อมกับโทเค็น App Check ที่ถูกต้องหรือไม่ ดูข้อมูลเพิ่มเติมได้ในเอกสารประกอบ Firebase App Check
เมื่อมั่นใจว่าคำขอส่วนใหญ่มาจากแหล่งที่มาที่ถูกต้องตามกฎหมายและผู้ใช้ได้อัปเดตแอปเป็นเวอร์ชันล่าสุดที่มีการใช้งาน App Check แล้ว คุณก็เปิดใช้การบังคับใช้ได้ เมื่อเปิดใช้แล้ว App Check จะปฏิเสธการเข้าชมทั้งหมดที่ไม่มีโทเค็น App Check ที่ถูกต้อง
ข้อควรพิจารณาเมื่อวางแผนการผสานรวม App Check
สิ่งที่คุณควรพิจารณาเมื่อวางแผนการผสานรวมมีดังนี้
- reCAPTCHA Enterprise ซึ่งเป็นหนึ่งในผู้ให้บริการการรับรองที่เราแนะนำจะเรียกเก็บเงินสำหรับการประเมินมากกว่า 10,000 รายการต่อเดือน
คุณเลือกใช้ผู้ให้บริการการรับรองที่กำหนดเองได้ แม้ว่าจะเป็นกรณีการใช้งานขั้นสูงก็ตาม ดูข้อมูลเพิ่มเติมได้ในเอกสารประกอบ App Check
-
ผู้ใช้แอปของคุณจะพบความหน่วงแฝงเล็กน้อยเมื่อเริ่มต้นใช้งาน อย่างไรก็ตาม หลังจากนั้น การรับรองซ้ำเป็นระยะจะเกิดขึ้นในเบื้องหลังและผู้ใช้ไม่ควรพบความหน่วงแฝงอีกต่อไป ความหน่วงแฝงที่แน่นอนเมื่อเริ่มต้นใช้งานจะขึ้นอยู่กับผู้ให้บริการการรับรองที่คุณเลือก
ระยะเวลาที่โทเค็น App Check ใช้งานได้ (Time to Live หรือ TTL) จะกำหนดความถี่ของการรับรองซ้ำ คุณกำหนดค่าระยะเวลานี้ได้ในคอนโซล Firebase การรับรองซ้ำจะเกิดขึ้นเมื่อ TTL ผ่านไปประมาณครึ่งหนึ่ง ดูข้อมูลเพิ่มเติมได้ในเอกสารประกอบ Firebaseสำหรับผู้ให้บริการการรับรอง
ผสานรวมแอปกับ App Check
เกณฑ์เบื้องต้นและข้อกำหนด
- แอปที่มีMaps JS API เวอร์ชันรายสัปดาห์หรือรายไตรมาสล่าสุดและไลบรารีหลักโหลดอยู่
- โปรเจ็กต์ที่อยู่ในระบบคลาวด์ที่เปิดใช้ Maps JS API
- คุณต้องเป็นเจ้าของแอปใน Cloud Console
- คุณจะต้องใช้รหัสโปรเจ็กต์ของแอปจาก Cloud Console
ขั้นตอนที่ 1: เพิ่ม Firebase ไปยังแอป
ทำตามวิธีการในเอกสารประกอบสำหรับนักพัฒนาแอป Firebase เพื่อเพิ่ม Firebase ไปยังแอป
ขั้นตอนที่ 2: เพิ่มไลบรารี App Check และเริ่มต้นใช้งาน App Check
Firebase มีวิธีการสำหรับผู้ให้บริการการรับรองเริ่มต้นแต่ละราย วิธีการเหล่านี้จะแสดงวิธีตั้งค่าโปรเจ็กต์ Firebase และเพิ่มไลบรารี App Check ลงในแอป ทำตามตัวอย่างโค้ดที่ให้ไว้เพื่อเริ่มต้นใช้งาน App Check
ขั้นตอนที่ 3: โหลดไลบรารี Maps JS API
โหลดไลบรารีหลักและไลบรารี Maps ดังที่แสดงในข้อมูลโค้ดต่อไปนี้ ดูข้อมูลและวิธีการเพิ่มเติมได้ในเอกสารประกอบ Maps JavaScript API
async function init() { const {Settings} = await google.maps.importLibrary('core'); const {Map} = await google.maps.importLibrary('maps'); }
ขั้นตอนที่ 4: เริ่มต้นใช้งาน Maps และ App Check API
- เริ่มต้นใช้งาน App Check โดยใช้การกำหนดค่าที่คอนโซล Firebase ให้ไว้
- ตรวจสอบว่าคำขอไปยัง Maps JS API มาพร้อมกับโทเค็น App Check ดังนี้
import {initializeApp} from 'firebase/app'; import { getToken, initializeAppCheck, ReCaptchaEnterpriseProvider, } from 'firebase/app-check'; async function init() { const {Settings} = await google.maps.importLibrary('core'); const {Map} = await google.maps.importLibrary('maps'); const app = initializeApp({ // Your firebase configuration object }); // Pass your reCAPTCHA Enterprise site key to initializeAppCheck(). const appCheck = initializeAppCheck(app, { provider: new ReCaptchaEnterpriseProvider( 'abcdefghijklmnopqrstuvwxy-1234567890abcd', ), // Optional argument. If true, the SDK automatically refreshes App Check // tokens as needed. isTokenAutoRefreshEnabled: true, }); Settings.getInstance().fetchAppCheckToken = () => getToken(appCheck, /* forceRefresh = */ false); // Load a map map = new Map(document.getElementById("map"), { center: { lat: 37.4161493, lng: -122.0812166 }, zoom: 8, }); }
ขั้นตอนที่ 5: เปิดใช้การแก้ไขข้อบกพร่อง (ไม่บังคับ)
หากต้องการพัฒนาและทดสอบแอปในเครื่อง หรือดำเนินการในสภาพแวดล้อมการรวมอย่างต่อเนื่อง (CI) คุณสามารถสร้างบิลด์การแก้ไขข้อบกพร่องของแอปที่ใช้คีย์ลับการแก้ไขข้อบกพร่องเพื่อรับโทเค็น App Check ที่ถูกต้อง ซึ่งจะช่วยให้คุณหลีกเลี่ยงการใช้ผู้ให้บริการการรับรองจริงในบิลด์การแก้ไขข้อบกพร่อง
วิธีทดสอบแอปในเครื่อง
- เปิดใช้งานผู้ให้บริการการแก้ไขข้อบกพร่องเพื่อวัตถุประสงค์ในการพัฒนา
- คุณจะได้รับ UUID4 แบบสุ่มที่สร้างขึ้นโดยอัตโนมัติ (เรียกว่า _โทเค็นการแก้ไขข้อบกพร่อง_ ในเอกสารประกอบ App Check) จากบันทึกการแก้ไขข้อบกพร่องของ SDK เพิ่มโทเค็นนี้ลงในคอนโซล Firebase
- ดูข้อมูลและวิธีการเพิ่มเติมได้ในเอกสารประกอบ App Check
วิธีเรียกใช้แอปในสภาพแวดล้อม CI
- สร้าง UUID4 แบบสุ่มจากคอนโซล Firebase
- เพิ่ม UUID4 เป็นโทเค็นการแก้ไขข้อบกพร่อง แล้วคัดลอกลงในที่เก็บข้อมูลลับที่การทดสอบ CI จะเข้าถึงได้ต่อการทดสอบแต่ละครั้ง
- ดูข้อมูลและวิธีการเพิ่มเติมได้ในเอกสารประกอบ App Check
ขั้นตอนที่ 6: ตรวจสอบคำขอของแอปและตัดสินใจว่าจะบังคับใช้หรือไม่
ก่อนที่จะเริ่มบังคับใช้ คุณต้องตรวจสอบว่าการดำเนินการดังกล่าวจะไม่ส่งผลกระทบต่อผู้ใช้ที่ถูกต้องตามกฎหมายของแอป โดยไปที่หน้าจอเมตริก App Check เพื่อดูเปอร์เซ็นต์การเข้าชมของแอปที่ได้รับการยืนยัน ล้าสมัย หรือไม่ถูกต้องตามกฎหมาย เมื่อเห็นว่าการเข้าชมส่วนใหญ่ได้รับการยืนยันแล้ว คุณก็เปิดใช้การบังคับใช้ได้
ดูข้อมูลและวิธีการเพิ่มเติมได้ในเอกสารประกอบ Firebase App Check