Selecciona la plataforma: Android iOS JavaScript

Usa la Verificación de aplicaciones para proteger tu clave de API

La Verificación de aplicaciones de Firebase protege las llamadas de tu app a Google Maps Platform, ya que bloquea el tráfico que proviene de fuentes que no son apps legítimas. Para ello, verifica si hay un token de un proveedor de certificación, como reCAPTCHA Enterprise. Integrar tus apps con la Verificación de aplicaciones ayuda a protegerlas contra solicitudes maliciosas, por lo que no se te cobrarán las llamadas no autorizadas a la API.

¿La Verificación de aplicaciones es adecuada para mí?

Se recomienda la Verificación de aplicaciones en la mayoría de los casos. Sin embargo, no es necesaria ni compatible en los siguientes casos:

  • Apps privadas o experimentales. Si tu app no es de acceso público, no se necesita la Verificación de aplicaciones.
  • Si tu app solo se usa de servidor a servidor, no se necesita la Verificación de aplicaciones. Sin embargo, si los clientes públicos (como las apps para dispositivos móviles) usan el servidor que se comunica con GMP, considera usar la Verificación de aplicaciones para proteger ese servidor en lugar de GMP.

Descripción general de los pasos de implementación

En un nivel alto, estos son los pasos que seguirás para integrar tu app con la Verificación de aplicaciones:

  1. Agrega Firebase a tu app.
  2. Agrega e inicializa la biblioteca de la Verificación de aplicaciones.
  3. Agrega el proveedor de tokens a tu app.
  4. Inicializa las APIs de Maps JS y de la Verificación de aplicaciones.
  5. Habilita la depuración.
  6. Supervisa las solicitudes de tu app y decide sobre la aplicación.

Una vez que realices la integración con la Verificación de aplicaciones, podrás ver las métricas de tráfico del backend en Firebase console. Estas métricas proporcionan un desglose de las solicitudes según si están acompañadas de un token válido de la Verificación de aplicaciones. Consulta la documentación de la Verificación de aplicaciones de Firebase para obtener más información.

Cuando te asegures de que la mayoría de las solicitudes provienen de fuentes legítimas y que los usuarios actualizaron a la versión más reciente de tu app que incluye tu implementación de la Verificación de aplicaciones, puedes activar la aplicación. Una vez que se active la aplicación, la Verificación de aplicaciones rechazará todo el tráfico sin un token válido de la Verificación de aplicaciones.

Consideraciones para planificar una integración de la Verificación de aplicaciones

Estos son algunos aspectos que debes tener en cuenta cuando planifiques la integración:

  • Uno de los proveedores de certificación que recomendamos, reCAPTCHA Enterprise, cobra por más de 10,000 evaluaciones por mes.

    El otro proveedor de certificación que recomendamos, reCAPTCHA v3, tiene una cuota, después de la cual no se evaluará el tráfico.

    Puedes elegir usar un proveedor de certificación personalizado, aunque este es un caso de uso avanzado. Consulta la documentación de la Verificación de aplicaciones para obtener más información.

  • Los usuarios de tu app experimentarán cierta latencia al inicio. Sin embargo, después, cualquier nueva certificación periódica se producirá en segundo plano, y los usuarios ya no deberían experimentar ninguna latencia. La cantidad exacta de latencia al inicio depende del proveedor de certificación que elijas.

    La cantidad de tiempo que es válido el token de la Verificación de aplicaciones (el tiempo de actividad o TTL) determina la frecuencia de las nuevas certificaciones. Esta duración se puede configurar en Firebase console. La nueva certificación se produce cuando transcurre aproximadamente la mitad del TTL. Para obtener más información, consulta los documentos de Firebase para tu proveedor de certificación.

Integra tu app con la Verificación de aplicaciones

Requisitos y requisitos previos

Paso 1: Agrega Firebase a tu app

Sigue las instrucciones de la documentación para desarrolladores de Firebase para agregar Firebase a tu app.

Paso 2: Agrega la biblioteca de la Verificación de aplicaciones e inicializa la Verificación de aplicaciones

Firebase proporciona instrucciones para cada proveedor de certificación predeterminado. Estas instrucciones te muestran cómo configurar un proyecto de Firebase y agregar la biblioteca de la Verificación de aplicaciones a tu app. Sigue los ejemplos de código proporcionados para inicializar la Verificación de aplicaciones.

Paso 3: Carga las bibliotecas de la API de Maps JS

  1. Carga las bibliotecas principales y de Maps como se muestra en el siguiente fragmento. Para obtener más información y las instrucciones, consulta la documentación de la API de Maps JavaScript. 

    async function init() {
  const {Settings} = await google.maps.importLibrary('core');
  const {Map} = await google.maps.importLibrary('maps');
}

Paso 4: Inicializa las APIs de Maps y de la Verificación de aplicaciones

  1. Inicializa la Verificación de aplicaciones con la configuración que proporciona Firebase console.
  2. Asegúrate de que las solicitudes a la API de Maps JS estén acompañadas de tokens de la Verificación de aplicaciones: 
      import {initializeApp} from 'firebase/app';
  import {
    getToken,
    initializeAppCheck,
    ReCaptchaEnterpriseProvider,
  } from 'firebase/app-check';
    
  async function init() {
    const {Settings} = await google.maps.importLibrary('core');
    const {Map} = await google.maps.importLibrary('maps');
  
    const app = initializeApp({
      // Your firebase configuration object
    });
  
    // Pass your reCAPTCHA Enterprise site key to initializeAppCheck().
    const appCheck = initializeAppCheck(app, {
      provider: new ReCaptchaEnterpriseProvider(
        'abcdefghijklmnopqrstuvwxy-1234567890abcd',
      ),
  
      // Optional argument. If true, the SDK automatically refreshes App Check
      // tokens as needed.
      isTokenAutoRefreshEnabled: true,
    });
  
    Settings.getInstance().fetchAppCheckToken = () =>
        getToken(appCheck, /* forceRefresh = */ false);
  
    // Load a map
    map = new Map(document.getElementById("map"), {
      center: { lat: 37.4161493, lng: -122.0812166 },
      zoom: 8,
    });
  }

Paso 5: Habilita la depuración (opcional)

Si quieres desarrollar y probar tu app de forma local, o ejecutarla en un entorno de integración continua (CI), puedes crear una compilación de depuración de la app que use un secreto de depuración para obtener tokens válidos de la Verificación de aplicaciones. Esto te permite evitar el uso de proveedores de certificación reales en tu compilación de depuración.

Para probar tu app de forma local, haz lo siguiente:

  • Activa el proveedor de depuración para fines de desarrollo.
  • Recibirás un UUID4 aleatorio generado automáticamente (llamado _token de depuración_ en la documentación de la Verificación de aplicaciones) de los registros de depuración del SDK. Agrega este token a Firebase console.
  • Para obtener más información y las instrucciones, consulta la documentación de la Verificación de aplicaciones.

Para ejecutar tu app en un entorno de CI, haz lo siguiente:

  • Genera un UUID4 aleatorio desde Firebase console.
  • Agrega el UUID4 como un token de depuración y, luego, cópialo en un almacén de secretos al que accederán las pruebas de CI por cada ejecución de prueba.
  • Para obtener más información y las instrucciones, consulta la documentación de la Verificación de aplicaciones.

Paso 6: Supervisa las solicitudes de tu app y decide sobre la aplicación

Antes de comenzar la aplicación, debes asegurarte de no interrumpir a los usuarios legítimos de tu app. Para ello, visita la pantalla de métricas de la Verificación de aplicaciones para ver qué porcentaje del tráfico de tu app está verificado, desactualizado o es ilegítimo. Una vez que veas que la mayoría de tu tráfico está verificado, puedes habilitar la aplicación.

Consulta la documentación de la Verificación de aplicaciones de Firebase para obtener más información y las instrucciones.