Sử dụng tính năng Kiểm tra ứng dụng để bảo mật khoá API

Firebase App Check bảo vệ các lệnh gọi từ ứng dụng của bạn đến Nền tảng Google Maps bằng cách chặn lưu lượng truy cập đến từ các nguồn không phải là ứng dụng hợp pháp. Tính năng này thực hiện việc này bằng cách kiểm tra mã thông báo của một nhà cung cấp chứng thực như Tính toàn vẹn của Play. Việc tích hợp ứng dụng với tính năng Kiểm tra ứng dụng giúp bảo vệ khỏi các yêu cầu độc hại, nhờ đó bạn sẽ không bị tính phí cho các lệnh gọi API trái phép.

Tính năng Kiểm tra ứng dụng có phù hợp với tôi không?

Bạn nên sử dụng tính năng Kiểm tra ứng dụng trong hầu hết các trường hợp. Tuy nhiên, bạn không cần hoặc không được hỗ trợ sử dụng tính năng này trong các trường hợp sau:

  • Bạn đang sử dụng SDK Places ban đầu. Công cụ kiểm tra ứng dụng chỉ được hỗ trợ cho SDK Địa điểm (Mới).
  • Ứng dụng riêng tư hoặc thử nghiệm. Nếu ứng dụng của bạn không được công khai, thì bạn không cần phải sử dụng tính năng Kiểm tra ứng dụng.
  • Nếu ứng dụng của bạn chỉ được dùng giữa các máy chủ, thì bạn không cần phải sử dụng tính năng Kiểm tra ứng dụng. Tuy nhiên, nếu máy chủ giao tiếp với GMP được các ứng dụng công khai (chẳng hạn như ứng dụng di động) sử dụng, hãy cân nhắc sử dụng tính năng Kiểm tra ứng dụng để bảo vệ máy chủ đó thay vì GMP.
  • Các nhà cung cấp chứng thực được đề xuất của App Check sẽ không hoạt động trên những thiết bị mà nhà cung cấp chứng thực của bạn coi là bị xâm phạm hoặc không đáng tin cậy. Nếu cần hỗ trợ các thiết bị như vậy, bạn có thể triển khai dịch vụ chứng thực tuỳ chỉnh. Để biết thêm thông tin, hãy xem hướng dẫn.

Tổng quan về các bước triển khai

Nhìn chung, đây là các bước bạn sẽ thực hiện để tích hợp ứng dụng với tính năng Kiểm tra ứng dụng:

  1. Thêm Firebase vào ứng dụng.
  2. Thêm và khởi chạy thư viện Kiểm tra ứng dụng.
  3. Thêm trình cung cấp mã thông báo.
  4. Bật tính năng gỡ lỗi.
  5. Theo dõi các yêu cầu của ứng dụng và quyết định biện pháp thực thi.

Sau khi tích hợp với tính năng Kiểm tra ứng dụng, bạn sẽ có thể xem các chỉ số lưu lượng truy cập phụ trợ trên bảng điều khiển Firebase. Các chỉ số này cung cấp thông tin chi tiết về các yêu cầu theo việc chúng có đi kèm mã thông báo App Check hợp lệ hay không. Hãy xem tài liệu về tính năng Kiểm tra ứng dụng Firebase để biết thêm thông tin.

Khi chắc chắn rằng hầu hết các yêu cầu đều đến từ các nguồn hợp pháp và người dùng đã cập nhật lên phiên bản mới nhất của ứng dụng (bao gồm cả việc triển khai tính năng Kiểm tra ứng dụng), bạn có thể bật tính năng thực thi. Sau khi bạn bật tính năng thực thi, tính năng Kiểm tra ứng dụng sẽ từ chối tất cả lưu lượng truy cập không có mã thông báo Kiểm tra ứng dụng hợp lệ.

Những điều cần cân nhắc khi lên kế hoạch tích hợp tính năng Kiểm tra ứng dụng

Sau đây là một số điều cần cân nhắc khi bạn lên kế hoạch tích hợp:

  • Nhà cung cấp chứng thực mà chúng tôi đề xuất, Play Integrity, có giới hạn số lệnh gọi hằng ngày cho cấp sử dụng API Chuẩn. Để biết thêm thông tin về giới hạn lệnh gọi, hãy xem trang Thiết lập trong tài liệu dành cho nhà phát triển về API Tính toàn vẹn của Google Play.

    Bạn cũng có thể chọn sử dụng nhà cung cấp chứng thực tuỳ chỉnh, mặc dù đây là trường hợp sử dụng nâng cao. Để biết thêm thông tin, hãy xem bài viết Triển khai trình cung cấp Tuỳ chỉnh cho tính năng Kiểm tra ứng dụng.

  • Người dùng ứng dụng của bạn sẽ gặp phải một chút độ trễ khi khởi động. Tuy nhiên, sau đó, mọi hoạt động chứng thực lại định kỳ sẽ diễn ra ở chế độ nền và người dùng sẽ không còn phải chờ đợi nữa. Độ trễ chính xác khi khởi động phụ thuộc vào nhà cung cấp chứng thực mà bạn chọn.

    Khoảng thời gian mã thông báo của tính năng Kiểm tra ứng dụng có hiệu lực (thời gian tồn tại hoặc TTL) xác định tần suất chứng thực lại. Bạn có thể định cấu hình khoảng thời gian này trong bảng điều khiển của Firebase. Quá trình chứng thực lại diễn ra khi khoảng một nửa TTL đã trôi qua. Để biết thêm thông tin, hãy xem tài liệu về Firebase dành cho trình cung cấp chứng thực của bạn.

Tích hợp ứng dụng của bạn với tính năng Kiểm tra ứng dụng

Điều kiện tiên quyết và yêu cầu

  • Một ứng dụng tích hợp SDK Địa điểm phiên bản 4.1 trở lên.
  • Vân tay số SHA-256 cho ứng dụng của bạn.
  • Tên gói của ứng dụng.
  • Bạn phải là chủ sở hữu của ứng dụng trong Cloud Console.
  • Bạn sẽ cần mã dự án của ứng dụng trong Cloud Console

Bước 1: Thêm Firebase vào ứng dụng

Làm theo hướng dẫn trong tài liệu dành cho nhà phát triển Firebase để thêm Firebase vào ứng dụng của bạn.

Bước 2: Thêm thư viện Kiểm tra ứng dụng và khởi chạy tính năng Kiểm tra ứng dụng

Để biết thông tin về cách sử dụng API Tính toàn vẹn của Play (nhà cung cấp chứng thực mặc định), hãy xem bài viết Bắt đầu sử dụng tính năng Kiểm tra ứng dụng bằng API Tính toàn vẹn của Play trên Android.

  1. Tích hợp SDK Địa điểm vào ứng dụng nếu bạn chưa thực hiện.

  2. Tiếp theo, hãy khởi chạy App Check (Kiểm tra ứng dụng) và ứng dụng Places.

    // Initialize App Check
FirebaseApp.initializeApp(/*context=*/ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());
  
// Initialize Places SDK
Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
PlacesClient client = Places.createClient(context);.

Bước 3: Thêm trình cung cấp mã thông báo

Sau khi khởi chạy API Địa điểm, hãy gọi setPlacesAppCheckTokenProvider() để đặt PlacesAppCheckTokenProvider. 

Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
Places.setPlacesAppCheckTokenProvider(new TokenProvider());
PlacesClient client = Places.createClient(context);.

Dưới đây là ví dụ về cách triển khai giao diện trình tìm nạp mã thông báo: 

  /** Sample client implementation of App Check token fetcher interface. */
  static class TokenProvider implements PlacesAppCheckTokenProvider {
    @Override
    public ListenableFuture<String> fetchAppCheckToken() {
      SettableFuture<String> future = SettableFuture.create();
      FirebaseAppCheck.getInstance()
          .getAppCheckToken(false)
          .addOnSuccessListener(
              appCheckToken -> {
                future.set(appCheckToken.getToken());
              })
          .addOnFailureListener(
              ex -> {
                future.setException(ex);
              });

      return future;
    }
  }

Bước 4: Bật tính năng gỡ lỗi (không bắt buộc)

Nếu muốn phát triển và kiểm thử ứng dụng trên máy hoặc chạy ứng dụng trong môi trường tích hợp liên tục (CI), bạn có thể tạo bản gỡ lỗi của ứng dụng sử dụng khoá gỡ lỗi để lấy mã thông báo App Check hợp lệ. Điều này giúp bạn tránh sử dụng các trình cung cấp chứng thực thực trong bản gỡ lỗi.

Cách chạy ứng dụng trong trình mô phỏng hoặc trên thiết bị kiểm thử:

  • Thêm thư viện Kiểm tra ứng dụng vào tệp build.gradle.
  • Định cấu hình tính năng Kiểm tra ứng dụng để sử dụng nhà máy nhà cung cấp gỡ lỗi trong bản dựng gỡ lỗi.
  • Chạy ứng dụng để tạo mã gỡ lỗi cục bộ. Thêm mã thông báo này vào bảng điều khiển của Firebase.
  • Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về tính năng Kiểm tra ứng dụng.

Cách chạy ứng dụng trong môi trường CI:

  • Tạo mã thông báo gỡ lỗi trong bảng điều khiển Firebase rồi thêm mã thông báo đó vào kho khoá bảo mật của hệ thống CI.
  • Thêm thư viện Kiểm tra ứng dụng vào tệp build.gradle.
  • Định cấu hình biến thể bản dựng CI để sử dụng mã thông báo gỡ lỗi.
  • Gói mã trong các lớp kiểm thử cần mã thông báo Kiểm tra ứng dụng bằng DebugAppCheckTestHelper.
  • Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về tính năng Kiểm tra ứng dụng.

Bước 5: Theo dõi các yêu cầu của ứng dụng và quyết định biện pháp thực thi

Trước khi bắt đầu thực thi, bạn cần đảm bảo rằng mình sẽ không làm gián đoạn người dùng hợp pháp của ứng dụng. Để làm việc này, hãy truy cập vào màn hình chỉ số của Công cụ kiểm tra ứng dụng để xem tỷ lệ phần trăm lưu lượng truy cập của ứng dụng đã được xác minh, đã lỗi thời hoặc không hợp lệ. Khi thấy phần lớn lưu lượng truy cập của mình đã được xác minh, bạn có thể bật tính năng thực thi.

Hãy xem tài liệu về tính năng Kiểm tra ứng dụng Firebase để biết thêm thông tin và hướng dẫn.