Menggunakan App Check untuk Mengamankan kunci API Anda

Firebase App Check memberikan perlindungan untuk panggilan dari aplikasi Anda ke Google Maps Platform dengan memblokir traffic yang berasal dari sumber selain aplikasi yang sah. Hal ini dilakukan dengan memeriksa token dari penyedia pengesahan seperti Play Integrity. Mengintegrasikan aplikasi dengan App Check membantu melindungi dari permintaan berbahaya, sehingga Anda tidak dikenai biaya untuk panggilan API yang tidak sah.

Apakah Pemeriksaan Aplikasi cocok untuk saya?

App Check direkomendasikan dalam sebagian besar kasus, tetapi App Check tidak diperlukan atau tidak didukung dalam kasus berikut:

  • Anda menggunakan Places SDK asli. App Check hanya didukung untuk Places SDK (Baru).
  • Aplikasi pribadi atau eksperimental. Jika aplikasi Anda tidak dapat diakses secara publik, Pemeriksaan Aplikasi tidak diperlukan.
  • Jika aplikasi Anda hanya digunakan server ke server, Pemeriksaan Aplikasi tidak diperlukan. Namun, jika server yang berkomunikasi dengan GMP digunakan oleh klien publik (seperti aplikasi seluler), sebaiknya gunakan App Check untuk melindungi server tersebut, bukan GMP.
  • Penyedia pengesahan yang direkomendasikan App Check tidak akan berfungsi di perangkat yang dianggap disusupi atau tidak dapat dipercaya oleh penyedia pengesahan Anda. Jika perlu mendukung perangkat tersebut, Anda dapat men-deploy layanan pengesahan kustom. Untuk informasi selengkapnya, lihat petunjuk.

Ringkasan langkah-langkah penerapan

Pada tingkat tinggi, berikut adalah langkah-langkah yang akan Anda ikuti untuk mengintegrasikan aplikasi dengan App Check:

  1. Tambahkan Firebase ke aplikasi Anda.
  2. Tambahkan dan lakukan inisialisasi library App Check.
  3. Tambahkan penyedia token.
  4. Aktifkan proses debug.
  5. Pantau permintaan aplikasi Anda dan tentukan penerapannya.

Setelah berintegrasi dengan App Check, Anda dapat melihat metrik traffic backend di Firebase console. Metrik ini memberikan pengelompokan permintaan berdasarkan apakah permintaan tersebut disertai dengan token App Check yang valid. Lihat dokumentasi Firebase App Check untuk mengetahui informasi selengkapnya.

Jika Anda yakin bahwa sebagian besar permintaan berasal dari sumber yang sah dan pengguna telah mengupdate aplikasi ke versi terbaru yang menyertakan penerapan App Check, Anda dapat mengaktifkan penerapan. Setelah penerapan diaktifkan, App Check akan menolak semua traffic tanpa token App Check yang valid.

Pertimbangan saat merencanakan integrasi App Check

Berikut beberapa hal yang perlu dipertimbangkan saat Anda merencanakan integrasi:

  • Penyedia pengesahan yang kami rekomendasikan, Play Integrity, memiliki batas panggilan harian untuk tingkat penggunaan API Standarnya. Untuk mengetahui informasi selengkapnya tentang batas panggilan, lihat halaman Penyiapan di dokumentasi developer Google Play Integrity.

    Anda juga dapat memilih untuk menggunakan penyedia pengesahan kustom, meskipun ini adalah kasus penggunaan lanjutan. Untuk informasi selengkapnya, lihat Menerapkan penyedia App Check kustom.

  • Pengguna aplikasi Anda akan mengalami beberapa latensi saat memulai. Namun, setelah itu, setiap pengesahan ulang berkala akan terjadi di latar belakang dan pengguna tidak akan lagi mengalami latensi. Jumlah latensi yang tepat saat memulai bergantung pada penyedia pengesahan yang Anda pilih.

    Durasi validitas token App Check (time to live, atau TTL) menentukan frekuensi pengesahan ulang. Durasi ini dapat dikonfigurasi di Firebase console. Re-attestation terjadi saat sekitar setengah dari TTL telah berlalu. Untuk mengetahui informasi selengkapnya, lihat dokumen Firebase untuk penyedia pengesahan Anda.

Mengintegrasikan aplikasi dengan App Check

Prasyarat dan persyaratan

  • Aplikasi dengan Places SDK versi 4.1 atau yang lebih baru yang terintegrasi.
  • Sidik jari SHA-256 untuk aplikasi Anda.
  • Nama paket aplikasi Anda.
  • Anda harus menjadi pemilik aplikasi di Cloud Console.
  • Anda memerlukan project ID aplikasi dari Konsol Cloud

Langkah 1: Menambahkan Firebase ke aplikasi

Ikuti petunjuk dalam dokumentasi developer Firebase untuk menambahkan Firebase ke aplikasi Anda.

Langkah 2: Tambahkan library App Check dan lakukan inisialisasi App Check

Untuk mengetahui informasi tentang cara menggunakan Play Integrity, penyedia pengesahan default, lihat Mulai menggunakan App Check dengan Play Integrity di Android.

  1. Jika belum melakukannya, integrasikan Places SDK ke dalam aplikasi Anda.

  2. Selanjutnya, lakukan inisialisasi App Check dan Places client.

    // Initialize App Check
FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());
  
// Initialize Places SDK
Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
PlacesClient client = Places.createClient(context);.

Langkah 3: Tambahkan penyedia token

Setelah melakukan inisialisasi Places API, panggil setPlacesAppCheckTokenProvider() untuk menetapkan PlacesAppCheckTokenProvider. 

Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
Places.setPlacesAppCheckTokenProvider(new TokenProvider());
PlacesClient client = Places.createClient(context);.

Berikut adalah contoh implementasi antarmuka pengambil token: 

  /** Sample client implementation of App Check token fetcher interface. */
  static class TokenProvider implements PlacesAppCheckTokenProvider {
    @Override
    public ListenableFuture<String> fetchAppCheckToken() {
      SettableFuture<String> future = SettableFuture.create();
      FirebaseAppCheck.getInstance()
          .getAppCheckToken(false)
          .addOnSuccessListener(
              appCheckToken -> {
                future.set(appCheckToken.getToken());
              })
          .addOnFailureListener(
              ex -> {
                future.setException(ex);
              });

      return future;
    }
  }

Langkah 4: Aktifkan proses debug (opsional)

Jika ingin mengembangkan dan menguji aplikasi secara lokal, atau menjalankannya di lingkungan continuous integration (CI), Anda dapat membuat build debug aplikasi yang menggunakan secret debug untuk mendapatkan token App Check yang valid. Hal ini memungkinkan Anda menghindari penggunaan penyedia pengesahan yang sebenarnya dalam build debug.

Untuk menjalankan aplikasi di emulator atau perangkat pengujian:

  • Tambahkan library App Check ke file build.gradle Anda.
  • Konfigurasikan App Check untuk menggunakan factory penyedia debug di build debug Anda.
  • Luncurkan aplikasi, yang akan membuat token debug lokal. Tambahkan token ini ke Firebase console.
  • Untuk informasi dan petunjuk selengkapnya, lihat dokumentasi App Check.

Untuk menjalankan aplikasi Anda di lingkungan CI:

  • Buat token debug di Firebase console dan tambahkan ke key store aman sistem CI Anda.
  • Tambahkan library App Check ke file build.gradle Anda.
  • Konfigurasikan varian build CI Anda untuk menggunakan token debug.
  • Gabungkan kode di class pengujian yang memerlukan token App Check dengan DebugAppCheckTestHelper.
  • Untuk informasi dan petunjuk selengkapnya, lihat dokumentasi App Check.

Langkah 5: Pantau permintaan aplikasi Anda dan tentukan penerapannya

Sebelum memulai penerapan, Anda harus memastikan bahwa Anda tidak akan mengganggu pengguna sah aplikasi Anda. Untuk melakukannya, buka layar metrik App Check untuk melihat persentase traffic aplikasi Anda yang diverifikasi, sudah tidak berlaku, atau tidak sah. Setelah melihat bahwa sebagian besar traffic Anda telah diverifikasi, Anda dapat mengaktifkan penerapan.

Lihat dokumentasi Firebase App Check untuk mengetahui informasi dan petunjuk selengkapnya.