Sử dụng tính năng Kiểm tra ứng dụng để bảo mật khoá API

Firebase App Check bảo vệ các lệnh gọi từ ứng dụng của bạn đến Nền tảng Google Maps bằng cách chặn lưu lượng truy cập đến từ các nguồn không phải là ứng dụng hợp pháp. Bằng cách kiểm tra mã thông báo từ một nhà cung cấp chứng thực như reCAPTCHA Enterprise. Việc tích hợp ứng dụng với tính năng Kiểm tra ứng dụng giúp bảo vệ khỏi các yêu cầu độc hại, nhờ đó bạn sẽ không bị tính phí cho các lệnh gọi API trái phép.

Tính năng Kiểm tra ứng dụng có phù hợp với tôi không?

Bạn nên sử dụng tính năng Kiểm tra ứng dụng trong hầu hết các trường hợp. Tuy nhiên, bạn không cần hoặc không được hỗ trợ sử dụng tính năng này trong các trường hợp sau:

• Ứng dụng riêng tư hoặc thử nghiệm. Nếu ứng dụng của bạn không được công khai, thì bạn không cần phải sử dụng tính năng Kiểm tra ứng dụng.
• Nếu ứng dụng của bạn chỉ được dùng giữa các máy chủ, thì bạn không cần phải sử dụng tính năng Kiểm tra ứng dụng. Tuy nhiên, nếu máy chủ giao tiếp với GMP được các ứng dụng công khai (chẳng hạn như ứng dụng di động) sử dụng, hãy cân nhắc sử dụng tính năng Kiểm tra ứng dụng để bảo vệ máy chủ đó thay vì GMP.

Tổng quan về các bước triển khai

Nhìn chung, đây là các bước bạn sẽ thực hiện để tích hợp ứng dụng với tính năng Kiểm tra ứng dụng:

1. Thêm Firebase vào ứng dụng.
2. Thêm và khởi chạy thư viện Kiểm tra ứng dụng.
3. Thêm trình cung cấp mã thông báo vào ứng dụng.
4. Khởi chạy API Maps JS và API Kiểm tra ứng dụng.
5. Bật tính năng gỡ lỗi.
6. Theo dõi các yêu cầu của ứng dụng và quyết định biện pháp thực thi.

Sau khi tích hợp với tính năng Kiểm tra ứng dụng, bạn sẽ có thể xem các chỉ số lưu lượng truy cập phụ trợ trên bảng điều khiển Firebase. Các chỉ số này cung cấp thông tin chi tiết về các yêu cầu theo việc chúng có đi kèm mã thông báo App Check hợp lệ hay không. Hãy xem tài liệu về tính năng Kiểm tra ứng dụng Firebase để biết thêm thông tin.

Khi chắc chắn rằng hầu hết các yêu cầu đều đến từ các nguồn hợp pháp và người dùng đã cập nhật lên phiên bản mới nhất của ứng dụng (bao gồm cả việc triển khai tính năng Kiểm tra ứng dụng), bạn có thể bật tính năng thực thi. Sau khi bạn bật tính năng thực thi, tính năng Kiểm tra ứng dụng sẽ từ chối tất cả lưu lượng truy cập không có mã thông báo Kiểm tra ứng dụng hợp lệ.

Những điều cần cân nhắc khi lên kế hoạch tích hợp tính năng Kiểm tra ứng dụng

Sau đây là một số điều cần cân nhắc khi bạn lên kế hoạch tích hợp:

• Một trong những nhà cung cấp chứng thực mà chúng tôi đề xuất là reCAPTCHA Enterprise, tính phí cho hơn 10.000 lượt đánh giá mỗi tháng.

  Nhà cung cấp chứng thực khác mà chúng tôi đề xuất, reCAPTCHA v3 có hạn mức, sau đó lưu lượng truy cập sẽ không được đánh giá.

  Bạn có thể chọn sử dụng nhà cung cấp chứng thực tuỳ chỉnh, mặc dù đây là trường hợp sử dụng nâng cao. Hãy xem tài liệu về tính năng Kiểm tra ứng dụng để biết thêm thông tin.

• Người dùng ứng dụng của bạn sẽ gặp phải một chút độ trễ khi khởi động. Tuy nhiên, sau đó, mọi hoạt động chứng thực lại định kỳ sẽ diễn ra ở chế độ nền và người dùng sẽ không còn phải chờ đợi nữa. Độ trễ chính xác khi khởi động phụ thuộc vào nhà cung cấp chứng thực mà bạn chọn.

  Khoảng thời gian mã thông báo của tính năng Kiểm tra ứng dụng có hiệu lực (thời gian tồn tại hoặc TTL) xác định tần suất chứng thực lại. Bạn có thể định cấu hình khoảng thời gian này trong bảng điều khiển của Firebase. Quá trình chứng thực lại diễn ra khi khoảng một nửa TTL đã trôi qua. Để biết thêm thông tin, hãy xem tài liệu về Firebase dành cho trình cung cấp chứng thực của bạn.

Tích hợp ứng dụng của bạn với tính năng Kiểm tra ứng dụng

Điều kiện tiên quyết và yêu cầu

• Một ứng dụng đã tải phiên bản mới nhất hằng tuần hoặc hằng quý của API Maps JS và thư viện Core.
• Một dự án trên Google Cloud đã bật API Maps JS.
• Bạn phải là chủ sở hữu của ứng dụng trong Cloud Console.
• Bạn sẽ cần mã dự án của ứng dụng trong Cloud Console

Bước 1: Thêm Firebase vào ứng dụng

Làm theo hướng dẫn trong tài liệu dành cho nhà phát triển Firebase để thêm Firebase vào ứng dụng của bạn.

Bước 2: Thêm thư viện Kiểm tra ứng dụng và khởi chạy tính năng Kiểm tra ứng dụng

Firebase cung cấp hướng dẫn cho từng nhà cung cấp chứng thực mặc định. Hướng dẫn này cho bạn biết cách thiết lập dự án Firebase và thêm thư viện Kiểm tra ứng dụng vào ứng dụng. Hãy làm theo các mã mẫu được cung cấp để khởi chạy tính năng Kiểm tra ứng dụng.

• Hướng dẫn về reCAPTCHA Enterprise.

• Hướng dẫn về reCAPTCHA v3.

Bước 3: Tải thư viện API Maps JS

1. Tải thư viện cốt lõi và Maps như trong đoạn mã sau. Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về API Maps JavaScript.

   async function init() {
     const {Settings} = await google.maps.importLibrary('core');
     const {Map} = await google.maps.importLibrary('maps');
   }  

Bước 4: Khởi chạy API Maps và API Kiểm tra ứng dụng

1. Khởi chạy tính năng Kiểm tra ứng dụng bằng cấu hình do bảng điều khiển Firebase cung cấp.
   • Hướng dẫn về reCAPTCHA v3.
   • Hướng dẫn về reCAPTCHA Enterprise.
2. Đảm bảo rằng các yêu cầu gửi đến API Maps JS đều đi kèm với mã thông báo Kiểm tra ứng dụng:

     import {initializeApp} from 'firebase/app';
     import {
       getToken,
       initializeAppCheck,
       ReCaptchaEnterpriseProvider,
     } from 'firebase/app-check';
       
     async function init() {
       const {Settings} = await google.maps.importLibrary('core');
       const {Map} = await google.maps.importLibrary('maps');
     
       const app = initializeApp({
         // Your firebase configuration object
       });
     
       // Pass your reCAPTCHA Enterprise site key to initializeAppCheck().
       const appCheck = initializeAppCheck(app, {
         provider: new ReCaptchaEnterpriseProvider(
           'abcdefghijklmnopqrstuvwxy-1234567890abcd',
         ),
     
         // Optional argument. If true, the SDK automatically refreshes App Check
         // tokens as needed.
         isTokenAutoRefreshEnabled: true,
       });
     
       Settings.getInstance().fetchAppCheckToken = () =>
           getToken(appCheck, /* forceRefresh = */ false);
     
       // Load a map
       map = new Map(document.getElementById("map"), {
         center: { lat: 37.4161493, lng: -122.0812166 },
         zoom: 8,
       });
     }  
     

Bước 5: Bật tính năng gỡ lỗi (không bắt buộc)

Nếu muốn phát triển và kiểm thử ứng dụng trên máy hoặc chạy ứng dụng trong môi trường tích hợp liên tục (CI), bạn có thể tạo bản gỡ lỗi của ứng dụng sử dụng khoá gỡ lỗi để lấy mã thông báo App Check hợp lệ. Điều này giúp bạn tránh sử dụng các trình cung cấp chứng thực thực trong bản gỡ lỗi.

Cách kiểm thử ứng dụng trên máy:

• Kích hoạt trình cung cấp gỡ lỗi cho mục đích phát triển.
• Bạn sẽ nhận được một UUID4 ngẫu nhiên được tạo tự động (được gọi là _mã thông báo gỡ lỗi_ trong tài liệu Kiểm tra ứng dụng) từ nhật ký gỡ lỗi của SDK. Thêm mã thông báo này vào bảng điều khiển của Firebase.
• Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về tính năng Kiểm tra ứng dụng.

Cách chạy ứng dụng trong môi trường CI:

• Tạo một UUID4 ngẫu nhiên từ bảng điều khiển của Firebase.
• Thêm UUID4 làm mã thông báo gỡ lỗi, sau đó sao chép mã thông báo đó vào kho bí mật mà các kiểm thử CI sẽ truy cập trong mỗi lần chạy kiểm thử.
• Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về tính năng Kiểm tra ứng dụng.

Bước 6: Theo dõi các yêu cầu của ứng dụng và quyết định biện pháp thực thi

Trước khi bắt đầu thực thi, bạn cần đảm bảo rằng mình sẽ không làm gián đoạn người dùng hợp pháp của ứng dụng. Để làm việc này, hãy truy cập vào màn hình chỉ số của Công cụ kiểm tra ứng dụng để xem tỷ lệ phần trăm lưu lượng truy cập của ứng dụng đã được xác minh, đã lỗi thời hoặc không hợp lệ. Khi thấy phần lớn lưu lượng truy cập của mình đã được xác minh, bạn có thể bật tính năng thực thi.

Hãy xem tài liệu về tính năng Kiểm tra ứng dụng Firebase để biết thêm thông tin và hướng dẫn.