Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare App Check per proteggere la chiave API

Firebase App Check protegge le chiamate dalla tua app a Google Maps Platform bloccando il traffico proveniente da origini diverse dalle app legittime. A tale scopo, controlla la presenza di un token di un fornitore di servizi di attestazione come Play Integrity. L'integrazione delle tue app con App Check contribuisce a proteggerti dalle richieste dannose, in modo che non ti vengano addebitate chiamate API non autorizzate.

App Check è la soluzione adatta a me?

App Check è consigliato nella maggior parte dei casi, ma non è necessario o supportato nei seguenti casi:

Stai utilizzando l'SDK originale di Places. La verifica dell'app è supportata solo per l'SDK Places (nuovo).
App private o sperimentali. Se la tua app non è accessibile pubblicamente, App Check non è necessario.
Se la tua app viene utilizzata solo in modalità server-to-server, App Check non è necessario. Tuttavia, se il server che comunica con GMP viene utilizzato da client pubblici (ad esempio app mobile), ti consigliamo di utilizzare App Check per proteggere il server anziché GMP.
I fornitori di attestazioni consigliati da App Check non funzioneranno sui dispositivi ritenuti compromessi o non attendibili dal fornitore di attestazioni. Se devi supportare questi dispositivi, puoi implementare un servizio di attestazione personalizzato. Per ulteriori informazioni, consulta le istruzioni.

Panoramica della procedura di implementazione

In linea generale, questi sono i passaggi da seguire per integrare la tua app con App Check:

Aggiungi Firebase alla tua app.
Aggiungi e inizializza la libreria App Check.
Aggiungi il provider di token.
Attiva il debug.
Monitora le richieste delle app e decidi in merito all'applicazione delle norme.

Una volta completata l'integrazione con App Check, potrai visualizzare le metriche sul traffico di backend nella Console Firebase. Queste metriche forniscono una suddivisione delle richieste in base al fatto che siano o meno accompagnate da un token App Check valido. Per ulteriori informazioni, consulta la documentazione di Firebase App Check.

Quando hai la certezza che la maggior parte delle richieste proviene da origini legittime e che gli utenti hanno eseguito l'aggiornamento alla versione più recente della tua app che include l'implementazione di App Check, puoi attivare l'applicazione forzata. Una volta attivata l'applicazione, App Check rifiuterà tutto il traffico senza un token App Check valido.

Considerazioni per la pianificazione di un'integrazione di App Check

Ecco alcuni aspetti da prendere in considerazione durante la pianificazione dell'integrazione:

Il fornitore di attestazioni che consigliamo, Play Integrity, ha un limite di chiamate giornaliere per il suo livello di utilizzo dell'API Standard. Per ulteriori informazioni sui limiti di chiamata, consulta la pagina Configurazione nella documentazione per gli sviluppatori di Google Play Integrity.

Puoi anche scegliere di utilizzare un fornitore di attestazioni personalizzato, anche se si tratta di un caso d'uso avanzato. Per ulteriori informazioni, vedi Implementare un fornitore di App Check personalizzato.
Gli utenti della tua app riscontreranno una certa latenza all'avvio. Tuttavia, in seguito, qualsiasi nuova attestazione periodica verrà eseguita in background e gli utenti non dovrebbero più riscontrare alcuna latenza. L'importo esatto della latenza all'avvio dipende dal fornitore di attestazioni scelto.

La durata di validità del token App Check (time to live o TTL) determina la frequenza delle nuove attestazioni. Questa durata può essere configurata nella console Firebase. La nuova attestazione avviene quando è trascorsa circa la metà del TTL. Per ulteriori informazioni, consulta la documentazione di Firebase relativa al tuo fornitore di attestazioni.

Integrare l'app con App Check

Prerequisiti e requisiti

Un'app con l'SDK Places versione 4.1 o successive integrato.
L'impronta SHA-256 per la tua app.
Il nome del pacchetto della tua app.
Devi essere il proprietario dell'app nella console Cloud.
Ti servirà l'ID progetto dell'app dalla console Cloud

Passaggio 1: aggiungi Firebase alla tua app

Segui le istruzioni nella documentazione per gli sviluppatori di Firebase per aggiungere Firebase alla tua app.

Passaggio 2: aggiungi la libreria App Check e inizializza App Check

Per informazioni sull'utilizzo di Play Integrity, il provider di attestazione predefinito, consulta Iniziare a utilizzare App Check con Play Integrity su Android.

Se non l'hai ancora fatto, integra l'SDK di Places nella tua app.

Poi, inizializza App Check e il client di Places.

// Initialize App Check
FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());
  
// Initialize Places SDK
Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
PlacesClient client = Places.createClient(context);.

Passaggio 3: aggiungi il provider di token

Dopo aver inizializzato l'API Places, chiama setPlacesAppCheckTokenProvider() per impostare PlacesAppCheckTokenProvider.

Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
Places.setPlacesAppCheckTokenProvider(new TokenProvider());
PlacesClient client = Places.createClient(context);.

Di seguito è riportato un esempio di implementazione dell'interfaccia del recuperatore di token:

  /** Sample client implementation of App Check token fetcher interface. */
  static class TokenProvider implements PlacesAppCheckTokenProvider {
    @Override
    public ListenableFuture<String> fetchAppCheckToken() {
      SettableFuture<String> future = SettableFuture.create();
      FirebaseAppCheck.getInstance()
          .getAppCheckToken(false)
          .addOnSuccessListener(
              appCheckToken -> {
                future.set(appCheckToken.getToken());
              })
          .addOnFailureListener(
              ex -> {
                future.setException(ex);
              });

      return future;
    }
  }

(Facoltativo) Passaggio 4: attiva il debug

Se vuoi sviluppare e testare la tua app in locale o eseguirla in un ambiente di integrazione continua (CI), puoi creare una build di debug dell'app che utilizzi un segreto di debug per ottenere token App Check validi. In questo modo puoi evitare di utilizzare fornitori di attestazioni reali nella build di debug.

Per eseguire l'app in un emulatore o su un dispositivo di test:

Aggiungi la libreria App Check al file build.gradle.
Configura App Check in modo da utilizzare la factory del provider di debug nella build di debug.
Avvia l'app, che creerà un token di debug locale. Aggiungi questo token alla Console Firebase.
Per ulteriori informazioni e istruzioni, consulta la documentazione di App Check.

Per eseguire l'app in un ambiente CI:

Crea un token di debug nella Console Firebase e aggiungilo al key store sicuro del tuo sistema CI.
Aggiungi la libreria App Check al file build.gradle.
Configura la variante di compilazione CI per utilizzare il token di debug.
Inserisci il codice nelle classi di test che richiedono un token di App Check con DebugAppCheckTestHelper.
Per ulteriori informazioni e istruzioni, consulta la documentazione di App Check.

Passaggio 5: monitora le richieste di app e decidi sull'applicazione

Prima di iniziare l'applicazione, assicurati di non interrompere gli utenti legittimi della tua app. Per farlo, vai alla schermata delle metriche di App Check per vedere quale percentuale del traffico della tua app è verificata, obsoleta o illegittima. Una volta che la maggior parte del traffico è stata verificata, puoi attivare l'applicazione.

Per ulteriori informazioni e istruzioni, consulta la documentazione di Firebase App Check.