Se usó la API de Cloud Translation para traducir esta página.

Usa la Verificación de aplicaciones para proteger tu clave de API

La Verificación de aplicaciones de Firebase protege las llamadas de tu app a Google Maps Platform, ya que bloquea el tráfico que proviene de fuentes que no son apps legítimas. Para ello, busca un token de un proveedor de certificación como Play Integrity. Integrar tus apps con la Verificación de aplicaciones ayuda a protegerte contra las solicitudes maliciosas, de modo que no se te cobre por llamadas a la API no autorizadas.

¿La Verificación de aplicaciones es adecuada para mí?

Se recomienda usar la Verificación de aplicaciones en la mayoría de los casos. Sin embargo, no es necesaria ni es compatible en los siguientes casos:

Estás usando el SDK de Places original. La Verificación de aplicaciones solo es compatible con el SDK de Places (nuevo).
Apps privadas o experimentales Si no se puede acceder a tu app de forma pública, no es necesario usar la Verificación de aplicaciones.
Si tu app solo se usa de servidor a servidor, no es necesario usar la Verificación de apps. Sin embargo, si los clientes públicos (como las apps para dispositivos móviles) usan el servidor que se comunica con GMP, considera usar App Check para proteger ese servidor en lugar de GMP.
Los proveedores de certificación recomendados de la Verificación de aplicaciones no funcionarán en dispositivos que tu proveedor de certificación considere comprometidos o poco confiables. Si necesitas admitir esos dispositivos, puedes implementar un servicio de certificación personalizado. Para obtener más información, consulta las instrucciones.

Descripción general de los pasos de implementación

En términos generales, estos son los pasos que seguirás para integrar tu app con la Verificación de apps:

Agrega Firebase a tu app.
Agrega e inicializa la biblioteca de la Verificación de aplicaciones.
Agrega el proveedor de tokens.
Habilita la depuración.
Supervisa las solicitudes de tu app y decide si aplicar la aplicación forzosa.

Una vez que realices la integración con App Check, podrás ver las métricas de tráfico del backend en Firebase console. Estas métricas proporcionan un desglose de las solicitudes según si están acompañadas de un token válido de la Verificación de aplicaciones. Consulta la documentación de la Verificación de aplicaciones de Firebase para obtener más información.

Cuando te asegures de que la mayoría de las solicitudes provienen de fuentes legítimas y de que los usuarios actualizaron a la versión más reciente de tu app que incluye la implementación de la Verificación de aplicaciones, puedes activar la aplicación forzosa. Una vez que se active la aplicación forzosa, la Verificación de aplicaciones rechazará todo el tráfico sin un token de Verificación de aplicaciones válido.

Consideraciones para planificar una integración de la Verificación de aplicaciones

Estos son algunos aspectos que debes tener en cuenta cuando planifiques tu integración:

El proveedor de certificación que recomendamos, Play Integrity, tiene un límite de llamadas diarias para su nivel de uso de la API estándar. Para obtener más información sobre los límites de llamadas, consulta la página Configuración en la documentación para desarrolladores de Google Play Integrity.

También puedes usar un proveedor de certificación personalizado, aunque este es un caso de uso avanzado. Para obtener más información, consulta Implementa un proveedor personalizado de Verificación de aplicaciones.
Los usuarios de tu app experimentarán cierta latencia al inicio. Sin embargo, después, cualquier nueva certificación periódica se realizará en segundo plano, y los usuarios ya no deberían experimentar ninguna latencia. La cantidad exacta de latencia en el inicio depende del proveedor de certificación que elijas.

La cantidad de tiempo que es válido el token de Verificación de aplicaciones (el tiempo de actividad o TTL) determina la frecuencia de las nuevas certificaciones. Esta duración se puede configurar en Firebase console. La nueva certificación se produce cuando transcurre aproximadamente la mitad del TTL. Para obtener más información, consulta los documentos de Firebase de tu proveedor de certificación.

Integra tu app con la Verificación de aplicaciones

Requisitos previos y requisitos

Una app con la versión 4.1 o posterior del SDK de Places integrada
La huella digital SHA-256 de tu app
Es el nombre del paquete de tu app.
Debes ser el propietario de la app en Cloud Console.
Necesitarás el ID del proyecto de la app de la consola de Cloud

Paso 1: Agrega Firebase a tu app

Sigue las instrucciones de la documentación para desarrolladores de Firebase para agregar Firebase a tu app.

Paso 2: Agrega la biblioteca de la Verificación de aplicaciones y, luego, iníciala

Si deseas obtener información para usar Play Integrity, el proveedor de certificación predeterminado, consulta Comienza a usar la Verificación de aplicaciones con Play Integrity en Android.

Si aún no lo hiciste, integra el SDK de Places en tu app.

A continuación, inicializa App Check y el cliente de Places.

// Initialize App Check
FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());
  
// Initialize Places SDK
Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
PlacesClient client = Places.createClient(context);.

Paso 3: Agrega el proveedor de tokens

Después de inicializar la API de Places, llama a setPlacesAppCheckTokenProvider() para configurar PlacesAppCheckTokenProvider.

Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
Places.setPlacesAppCheckTokenProvider(new TokenProvider());
PlacesClient client = Places.createClient(context);.

A continuación, se muestra una implementación de ejemplo de la interfaz del recuperador de tokens:

  /** Sample client implementation of App Check token fetcher interface. */
  static class TokenProvider implements PlacesAppCheckTokenProvider {
    @Override
    public ListenableFuture<String> fetchAppCheckToken() {
      SettableFuture<String> future = SettableFuture.create();
      FirebaseAppCheck.getInstance()
          .getAppCheckToken(false)
          .addOnSuccessListener(
              appCheckToken -> {
                future.set(appCheckToken.getToken());
              })
          .addOnFailureListener(
              ex -> {
                future.setException(ex);
              });

      return future;
    }
  }

Paso 4: Habilita la depuración (opcional)

Si deseas desarrollar y probar tu app de forma local, o bien ejecutarla en un entorno de integración continua (CI), puedes crear una compilación de depuración de la app que use un secreto de depuración para obtener tokens de Verificación de aplicaciones válidos. Esto te permite evitar el uso de proveedores de certificación reales en tu compilación de depuración.

Para ejecutar tu app en un emulador o dispositivo de prueba, haz lo siguiente:

Agrega la biblioteca de la Verificación de aplicaciones a tu archivo build.gradle.
Configura la Verificación de aplicaciones para que use la fábrica del proveedor de depuración en tu compilación de depuración.
Inicia la app, que creará un token de depuración local. Agrega este token a Firebase console.
Para obtener más información y las instrucciones, consulta la documentación de la Verificación de aplicaciones.

Para ejecutar tu app en un entorno de CI, sigue estos pasos:

Crea un token de depuración en Firebase console y agrégalo al almacén de claves seguro de tu sistema de CI.
Agrega la biblioteca de la Verificación de aplicaciones a tu archivo build.gradle.
Configura la variante de compilación de CI para que use el token de depuración.
Une el código de tus clases de prueba que necesite un token de la Verificación de aplicaciones con DebugAppCheckTestHelper.
Para obtener más información y las instrucciones, consulta la documentación de la Verificación de aplicaciones.

Paso 5: Supervisa las solicitudes de tu app y decide sobre la aplicación forzosa

Antes de comenzar la aplicación de políticas, asegúrate de no interrumpir a los usuarios legítimos de tu app. Para ello, visita la pantalla de métricas de la Verificación de aplicaciones para ver qué porcentaje del tráfico de tu app está verificado, desactualizado o es ilegítimo. Una vez que veas que la mayoría de tu tráfico está verificado, puedes habilitar la aplicación forzosa.

Consulta la documentación de la Verificación de aplicaciones de Firebase para obtener más información y las instrucciones.