Usa la Verificación de aplicaciones para proteger tu clave de API

La Verificación de aplicaciones de Firebase protege las llamadas de tu app a Google Maps Platform, ya que bloquea el tráfico que proviene de fuentes que no son apps legítimas. Para ello, busca un token de un proveedor de certificación, como App Attest. Integrar tus apps con la Verificación de aplicaciones ayuda a protegerte contra las solicitudes maliciosas, de modo que no se te cobre por llamadas a la API no autorizadas.

¿La Verificación de aplicaciones es adecuada para mí?

Se recomienda usar la Verificación de aplicaciones en la mayoría de los casos. Sin embargo, no es necesaria ni es compatible en los siguientes casos:

• Estás usando el SDK de Places original. La Verificación de aplicaciones solo es compatible con el SDK de Places (nuevo).
• Apps privadas o experimentales Si no se puede acceder a tu app de forma pública, no es necesario usar la Verificación de aplicaciones.
• Si tu app solo se usa de servidor a servidor, no es necesario usar la Verificación de apps. Sin embargo, si los clientes públicos (como las apps para dispositivos móviles) usan el servidor que se comunica con GMP, considera usar App Check para proteger ese servidor en lugar de GMP.
• Los proveedores de certificación recomendados de la Verificación de aplicaciones no funcionarán en dispositivos que tu proveedor de certificación considere comprometidos o poco confiables. Si necesitas admitir esos dispositivos, puedes implementar un servicio de certificación personalizado. Para obtener más información, consulta las instrucciones.

Descripción general de los pasos de implementación

En términos generales, estos son los pasos que seguirás para integrar tu app con la Verificación de apps:

1. Agrega Firebase a tu app.
2. Agrega e inicializa la biblioteca de la Verificación de aplicaciones.
3. Agrega el proveedor de tokens a tu app.
4. Inicializa las APIs de Places y Verificación de aplicaciones.
5. Habilita la depuración.
6. Supervisa las solicitudes de tu app y decide si aplicar la aplicación forzosa.

Una vez que realices la integración con App Check, podrás ver las métricas de tráfico del backend en Firebase console. Estas métricas proporcionan un desglose de las solicitudes según si están acompañadas de un token válido de la Verificación de aplicaciones. Consulta la documentación de la Verificación de aplicaciones de Firebase para obtener más información.

Cuando te asegures de que la mayoría de las solicitudes provienen de fuentes legítimas y de que los usuarios actualizaron a la versión más reciente de tu app que incluye la implementación de la Verificación de aplicaciones, puedes activar la aplicación forzosa. Una vez que se active la aplicación forzosa, la Verificación de aplicaciones rechazará todo el tráfico sin un token de Verificación de aplicaciones válido.

Consideraciones para planificar una integración de la Verificación de aplicaciones

Estos son algunos aspectos que debes tener en cuenta cuando planifiques tu integración:

• Los proveedores de certificación que recomendamos, Device Check o App Attest, están sujetos a las cuotas y limitaciones que establece Apple.

  Puedes usar un proveedor de certificación personalizado, aunque este es un caso de uso avanzado. Consulta la documentación de la Verificación de aplicaciones de Firebase para obtener más información.

• Los usuarios de tu app experimentarán cierta latencia al inicio. Sin embargo, después, cualquier nueva certificación periódica se realizará en segundo plano, y los usuarios ya no deberían experimentar ninguna latencia. La cantidad exacta de latencia en el inicio depende del proveedor de certificación que elijas.

  La cantidad de tiempo que es válido el token de Verificación de aplicaciones (el tiempo de actividad o TTL) determina la frecuencia de las nuevas certificaciones. Esta duración se puede configurar en Firebase console. La nueva certificación se produce cuando transcurre aproximadamente la mitad del TTL. Para obtener más información, consulta los documentos de Firebase de tu proveedor de certificación.

Integra tu app con la Verificación de aplicaciones

Requisitos previos y requisitos

• Una app con la versión 9.2 o posterior del SDK de Places instalada
• El ID del paquete de la app
• Tu ID de equipo en Apple Member Center, en Membership.
• Si planeas usar Device Check, tu archivo de clave privada y el ID de clave
• Debes ser el propietario de la app en Cloud Console.
• Necesitarás el ID del proyecto de la app de la consola de Cloud

Paso 1: Agrega Firebase a tu app

Sigue las instrucciones de la documentación para desarrolladores de Firebase para agregar Firebase a tu app.

Cuando registres tu app, obtendrás un archivo de configuración, GoogleService-Info.plist. Agrega este archivo sin modificar al nivel raíz de tu app.

import FirebaseCore
import FirebaseAppCheck
import GooglePlaces

@import FirebaseCore;      
@import FirebaseAppCheck;
@import GooglePlaces;

Paso 2: Agrega la biblioteca de la Verificación de aplicaciones y, luego, iníciala

Firebase proporciona instrucciones para cada proveedor de certificación predeterminado. En estas instrucciones, se muestra cómo configurar un proyecto de Firebase y agregar la biblioteca de App Check a tu app. Sigue las muestras de código proporcionadas para inicializar App Check.

1. Sigue las instrucciones de Firebase para agregar la biblioteca de la Verificación de aplicaciones:
   • Instrucciones de App Attest.
   • Instrucciones para la Verificación de dispositivos.
2. Inicializa la Verificación de aplicaciones.
   • Si usas App Attest, sigue la documentación para desarrolladores de Firebase sobre App Attest.

     Sigue las instrucciones de Firebase App Check para crear una implementación de AppCheckProviderFactory y agregarla a tu archivo AppDelegate.

     Swift

     let providerFactory = YourAppCheckProviderFactory()
     AppCheck.setAppCheckProviderFactory(providerFactory)

     Objective-C

     YourAppCheckProviderFactory *providerFactory =
         [[YourAppCheckProviderFactory alloc] init];
     [FIRAppCheck setAppCheckProviderFactory:providerFactory];
        

   • Si usas Device Check, agrega lo siguiente a tu AppDelegate:

     Swift

     AppCheck.setAppCheckProviderFactory(DeviceCheckProviderFactory())

     Objective-C

     [FIRAppCheck setAppCheckProviderFactory:providerFactory];
           

Paso 3: Agrega el proveedor de tokens

Crea un archivo llamado AppCheckTokenProvider (o, si usas Objective-C, dos archivos llamados AppCheckTokenProvider.h y AppCheckTokenProvider.m) en el nivel raíz de tu app. Agrega las siguientes instrucciones de importación y definición de clase:

// AppCheckTokenProvider.swift

import FirebaseAppCheck
import Foundation
import GooglePlaces

class AppCheckTokenProvider: NSObject, GMSPlacesAppCheckTokenProvider {
  func fetchAppCheckToken() async throws -> String {
    return try await AppCheck.appCheck().token(forcingRefresh: false).token
  }
}

// AppCheckTokenProvider.h

@import Foundation;
@import GooglePlaces;

@interface AppCheckTokenProvider : NSObject <GMSPlacesAppCheckTokenProvider>
@end

// AppCheckTokenProvider.m

#import "AppCheckTokenProvider.h"

@import FirebaseAppCheck;

@implementation AppCheckTokenProvider

- (void)fetchAppCheckTokenWithCompletion:(nonnull GMSAppCheckTokenCompletion)completion {
  [[FIRAppCheck appCheck]
      tokenForcingRefresh:NO
               completion:^(FIRAppCheckToken *_Nullable token, NSError *_Nullable error) {
                 if (token) {
                   completion(token.token, nil);
                 } else {
                   completion(nil, error);
                 }
               }];
}

@end

Paso 4: Inicializa las APIs de Places y App Check

1. En tu archivo AppDelegate, inicializa la API de Places:

   Swift

   GMSPlacesClient.provideAPIKey("YOUR_API_KEY")

   Objective-C

   [GMSPlacesClient provideAPIKey:@"YOUR_API_KEY"];

2. Luego, inicializa la API de Verificación de aplicaciones:

   Swift

   GMSPlacesClient.setAppCheckTokenProvider(AppCheckTokenProvider())

   Objective-C

   [GMSPlacesClient setAppCheckTokenProvider:[[AppCheckTokenProvider alloc] init]];

Paso 5: Habilita la depuración (opcional)

Si deseas desarrollar y probar tu app de forma local, o bien ejecutarla en un entorno de integración continua (CI), puedes crear una compilación de depuración de la app que use un secreto de depuración para obtener tokens de Verificación de aplicaciones válidos. Esto te permite evitar el uso de proveedores de certificación reales en tu compilación de depuración.

Para probar tu app en el simulador o en un dispositivo de prueba, haz lo siguiente:

• Crea y configura la fábrica del proveedor de depuración de la Verificación de aplicaciones.

  Esta muestra de código controla las situaciones de depuración y producción:

  Swift

  #if targetEnvironment(simulator)
        let providerFactory = AppCheckDebugProviderFactory()
  #else
        let providerFactory = YourAppCheckProviderFactory()
  #endif

  Objective-C

  if (targetEnvironment == simulator){
  
  FIRAppCheckDebugProviderFactory *providerFactory =
        [[FIRAppCheckDebugProviderFactory alloc] init];
  [FIRAppCheck setAppCheckProviderFactory:providerFactory];
  }
  
  else {
  
  YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
  [FIRAppCheck setAppCheckProviderFactory:providerFactory];
  }
      

• Habilita el registro en tu proyecto de Xcode, inicia la app y busca el token de depuración local en el registro.
• Agrega este token a Firebase console.
• Para obtener más información y las instrucciones, consulta la documentación de la Verificación de aplicaciones.

Para ejecutar tu app en un entorno de CI, sigue estos pasos:

• Crea un token de depuración en Firebase console y agrégalo al almacén de claves seguro de tu sistema de CI.
• En Xcode, agrega una variable de entorno a tu esquema de prueba con el nombre FIRAAppCheckDebugToken y $(APP_CHECK_DEBUG_TOKEN) (o algo similar) como el valor.
• En la secuencia de comandos de prueba de CI, pasa el token de depuración como un entorno

• Crea y configura la fábrica del proveedor de depuración de la Verificación de aplicaciones.

  Esta muestra de código controla las situaciones de depuración y producción:

  Swift

    #if targetEnvironment(ci)
          let providerFactory = AppCheckDebugProviderFactory()
          AppCheck.setAppCheckProviderFactory(providerFactory)
    #else
          let providerFactory = YourAppCheckProviderFactory()
    #endif
    

  Objective-C

  if (targetEnvironment == ci) {
  FIRAppCheckDebugProviderFactory *providerFactory =
        [[FIRAppCheckDebugProviderFactory alloc] init];
  [FIRAppCheck setAppCheckProviderFactory:providerFactory];
  }
  
  else {
  YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
  [FIRAppCheck setAppCheckProviderFactory:providerFactory];
  }

• Para obtener más información y las instrucciones, consulta la documentación de la Verificación de aplicaciones.

Paso 6: Supervisa las solicitudes de tu app y decide sobre la aplicación forzosa

Antes de comenzar la aplicación de políticas, asegúrate de no interrumpir a los usuarios legítimos de tu app. Para ello, visita la pantalla de métricas de la Verificación de aplicaciones para ver qué porcentaje del tráfico de tu app está verificado, desactualizado o es ilegítimo. Una vez que veas que la mayoría de tu tráfico está verificado, puedes habilitar la aplicación forzosa.

Consulta la documentación de la Verificación de aplicaciones de Firebase para obtener más información y las instrucciones.