ใช้ App Check เพื่อรักษาคีย์ API ให้ปลอดภัย
Firebase App Check ให้การปกป้องการเรียกใช้จากแอปของคุณไปยังแพลตฟอร์ม Google Maps โดยการบล็อกการเข้าชมที่มาจากแหล่งที่มาที่ไม่ใช่แอปที่ถูกต้อง โดยการตรวจสอบโทเค็นจากผู้ให้บริการการรับรอง เช่น reCAPTCHA Enterprise การผสานรวมแอปกับ App Check จะช่วยป้องกันคำขอที่เป็นอันตราย เพื่อไม่ให้ระบบเรียกเก็บเงินสำหรับการเรียก API โดยไม่ได้รับอนุญาต
App Check เหมาะกับฉันไหม
เราขอแนะนำให้ใช้ App Check ในกรณีส่วนใหญ่ แต่ไม่จำเป็นต้องใช้ App Check หรือระบบไม่รองรับในกรณีต่อไปนี้
- แอปส่วนตัวหรือแอปทดลอง หากแอปของคุณเข้าถึงไม่ได้แบบสาธารณะ ก็ไม่จำเป็นต้องใช้ App Check
- หากแอปของคุณใช้แบบเซิร์ฟเวอร์ต่อเซิร์ฟเวอร์เท่านั้น ก็ไม่จำเป็นต้องใช้ App Check อย่างไรก็ตาม หากไคลเอ็นต์สาธารณะ (เช่น แอปบนอุปกรณ์เคลื่อนที่) ใช้เซิร์ฟเวอร์ที่สื่อสารกับ GMP ให้พิจารณาใช้ App Check เพื่อปกป้องเซิร์ฟเวอร์นั้นแทน GMP
ภาพรวมของขั้นตอนการใช้งาน
ขั้นตอนโดยสังเขปในการผสานรวมแอปกับ App Check มีดังนี้
- เพิ่ม Firebase ไปยังแอป
- เพิ่มและเริ่มต้นใช้งานไลบรารี App Check
- เพิ่มผู้ให้บริการโทเค็นลงในแอป
- เริ่มต้น Maps JS และ App Check API
- เปิดใช้การแก้ไขข้อบกพร่อง
- ตรวจสอบคําขอแอปและตัดสินใจเกี่ยวกับการบังคับใช้
เมื่อผสานรวมกับ App Check แล้ว คุณจะเห็นเมตริกการเข้าชมแบ็กเอนด์ในคอนโซล Firebase เมตริกเหล่านี้แสดงรายละเอียดของคำขอตามที่มีโทเค็น App Check ที่ถูกต้องหรือไม่ ดูข้อมูลเพิ่มเติมได้ที่เอกสารประกอบของ Firebase App Check
เมื่อแน่ใจว่าคำขอส่วนใหญ่มาจากแหล่งที่มาที่ถูกต้องและผู้ใช้ได้อัปเดตแอปเป็นเวอร์ชันล่าสุดที่มีการติดตั้งใช้งาน App Check แล้ว คุณสามารถเปิดใช้การบังคับใช้ได้ เมื่อเปิดการบังคับใช้แล้ว App Check จะปฏิเสธการเข้าชมทั้งหมดที่ไม่มีโทเค็น App Check ที่ถูกต้อง
ข้อควรพิจารณาเมื่อวางแผนการผสานรวม App Check
ต่อไปนี้คือสิ่งที่ควรพิจารณาเมื่อวางแผนการผสานรวม
- reCAPTCHA Enterprise ซึ่งเป็นผู้ให้บริการการรับรองที่เราแนะนำรายหนึ่งจะเรียกเก็บเงินสำหรับการประเมินมากกว่า 10,000 รายการต่อเดือน
ผู้ให้บริการการรับรองรายอื่นที่เราแนะนำคือ reCAPTCHA v3 มีโควต้า ซึ่งหากใช้โควต้าจนหมด ระบบจะไม่ประเมินการเข้าชม
คุณสามารถเลือกใช้บริการผู้ให้บริการการรับรองที่กําหนดเองได้ แต่นี่เป็นกรณีการใช้งานขั้นสูง ดูข้อมูลเพิ่มเติมได้ในเอกสารประกอบเกี่ยวกับ App Check
-
ผู้ใช้แอปจะพบความล่าช้าเล็กน้อยเมื่อเริ่มต้น อย่างไรก็ตาม หลังจากนั้น การรับรองอีกครั้งจะเกิดขึ้นเป็นระยะๆ ในเบื้องหลัง และผู้ใช้ไม่ควรพบปัญหาเวลาในการตอบสนองอีกต่อไป เวลาในการตอบสนองที่แน่นอนเมื่อเริ่มต้นจะขึ้นอยู่กับผู้ให้บริการการรับรองที่คุณเลือก
ระยะเวลาที่โทเค็น App Check ใช้งานได้ (Time to Live หรือ TTL) จะกำหนดความถี่ของการรับรองอีกครั้ง คุณกำหนดค่าระยะเวลานี้ได้ในคอนโซล Firebase การรับรองอีกครั้งจะเกิดขึ้นเมื่อ TTL ผ่านไปประมาณครึ่งทาง ดูข้อมูลเพิ่มเติมได้ที่เอกสาร Firebase ของผู้ให้บริการการรับรอง
ผสานรวมแอปกับ App Check
เกณฑ์เบื้องต้นและข้อกำหนด
- แอปที่โหลดMaps JS API เวอร์ชันรายสัปดาห์หรือรายไตรมาสล่าสุดและไลบรารี Core
- โปรเจ็กต์ที่อยู่ในระบบคลาวด์ซึ่งเปิดใช้ Maps JS API
- คุณต้องเป็นเจ้าของแอปในคอนโซลระบบคลาวด์
- คุณจะต้องมีรหัสโปรเจ็กต์ของแอปจากคอนโซล Cloud
ขั้นตอนที่ 1: เพิ่ม Firebase ไปยังแอป
ทําตามวิธีการในเอกสารประกอบสําหรับนักพัฒนาแอป Firebase เพื่อเพิ่ม Firebase ลงในแอป
ขั้นตอนที่ 2: เพิ่มคลัง App Check และเริ่มต้น App Check
Firebase มีวิธีการสำหรับผู้ให้บริการการรับรองเริ่มต้นแต่ละราย วิธีการเหล่านี้จะแสดงวิธีตั้งค่าโปรเจ็กต์ Firebase และเพิ่มคลัง App Check ลงในแอปของคุณ ทำตามตัวอย่างโค้ดที่ระบุไว้เพื่อเริ่มต้น App Check
ขั้นตอนที่ 3: โหลดไลบรารี Maps JS API
โหลดไลบรารีหลักและ Maps ดังที่แสดงในข้อมูลโค้ดต่อไปนี้ ดูข้อมูลเพิ่มเติมและวิธีการได้ที่เอกสารประกอบ Maps JavaScript API
async function init() { const {Settings} = await google.maps.importLibrary('core'); const {Map} = await google.maps.importLibrary('maps'); }
ขั้นตอนที่ 4: เริ่มต้น Maps และ App Check API
- เริ่มต้น App Check โดยใช้การกําหนดค่าที่คอนโซล Firebase มีให้
- ตรวจสอบว่าคำขอ Maps JS API มีโทเค็น App Check อยู่ด้วย
import {initializeApp} from 'firebase/app'; import { getToken, initializeAppCheck, ReCaptchaEnterpriseProvider, } from 'firebase/app-check'; async function init() { const {Settings} = await google.maps.importLibrary('core'); const {Map} = await google.maps.importLibrary('maps'); const app = initializeApp({ // Your firebase configuration object }); // Pass your reCAPTCHA Enterprise site key to initializeAppCheck(). const appCheck = initializeAppCheck(app, { provider: new ReCaptchaEnterpriseProvider( 'abcdefghijklmnopqrstuvwxy-1234567890abcd', ), // Optional argument. If true, the SDK automatically refreshes App Check // tokens as needed. isTokenAutoRefreshEnabled: true, }); Settings.getInstance().fetchAppCheckToken = () => getToken(appCheck, /* forceRefresh = */ false); // Load a map map = new Map(document.getElementById("map"), { center: { lat: 37.4161493, lng: -122.0812166 }, zoom: 8, }); }
ขั้นตอนที่ 5: เปิดใช้การแก้ไขข้อบกพร่อง (ไม่บังคับ)
หากต้องการพัฒนาและทดสอบแอปในเครื่อง หรือเรียกใช้แอปในสภาพแวดล้อมการผสานรวมอย่างต่อเนื่อง (CI) คุณสามารถสร้างบิลด์แก้ไขข้อบกพร่องของแอปที่ใช้ข้อมูลลับสำหรับการแก้ไขข้อบกพร่องเพื่อรับโทเค็น App Check ที่ถูกต้อง ซึ่งจะช่วยให้คุณหลีกเลี่ยงการใช้ผู้ให้บริการการรับรองที่แท้จริงในบิลด์แก้ไขข้อบกพร่องได้
วิธีทดสอบแอปในเครื่อง
- เปิดใช้งานผู้ให้บริการแก้ไขข้อบกพร่องเพื่อวัตถุประสงค์ในการพัฒนา
- คุณจะได้รับ UUID4 แบบสุ่มที่สร้างขึ้นโดยอัตโนมัติ (เรียกว่า _debug token_ ในเอกสารประกอบของ App Check) จากบันทึกการแก้ไขข้อบกพร่องของ SDK เพิ่มโทเค็นนี้ลงในคอนโซล Firebase
- ดูข้อมูลและวิธีการเพิ่มเติมได้ที่เอกสารประกอบเกี่ยวกับ App Check
วิธีเรียกใช้แอปในสภาพแวดล้อม CI
- สร้าง UUID4 แบบสุ่มจากคอนโซล Firebase
- เพิ่ม UUID4 เป็นโทเค็นแก้ไขข้อบกพร่อง แล้วคัดลอกลงในที่เก็บข้อมูลที่เป็นความลับซึ่งการทดสอบ CI จะเข้าถึงต่อการเรียกใช้การทดสอบแต่ละครั้ง
- ดูข้อมูลและวิธีการเพิ่มเติมได้ที่เอกสารประกอบเกี่ยวกับ App Check
ขั้นตอนที่ 6: ตรวจสอบคําขอแอปและตัดสินใจเกี่ยวกับการบังคับใช้
ก่อนเริ่มการบังคับใช้ โปรดตรวจสอบว่าคุณจะไม่รบกวนผู้ใช้ที่ถูกต้องของแอป โดยไปที่หน้าจอเมตริกของ App Check เพื่อดูเปอร์เซ็นต์ของการเข้าชมแอปที่ได้รับการยืนยัน ล้าสมัย หรือไม่ถูกต้อง เมื่อเห็นว่าการเข้าชมส่วนใหญ่ได้รับการยืนยันแล้ว คุณจะเปิดใช้การบังคับใช้ได้
ดูข้อมูลเพิ่มเติมและวิธีการได้ในเอกสารประกอบของ Firebase App Check