Utiliser App Check pour sécuriser votre clé API

Firebase App Check protège les appels de votre application à Google Maps Platform en bloquant le trafic provenant de sources autres que des applications légitimes. Pour ce faire, il recherche un jeton auprès d'un fournisseur d'attestation tel que reCAPTCHA Enterprise. L'intégration de vos applications à App Check permet de vous protéger contre les requêtes malveillantes. Vous n'êtes donc pas facturé pour les appels d'API non autorisés.

App Check est-il adapté à mes besoins ?

App Check est recommandé dans la plupart des cas. Toutefois, il n'est pas nécessaire ou n'est pas compatible dans les cas suivants :

• Applications privées ou expérimentales. Si votre application n'est pas accessible au public, App Check n'est pas nécessaire.
• Si votre application n'est utilisée que de serveur à serveur, App Check n'est pas nécessaire. Toutefois, si le serveur qui communique avec GMP est utilisé par des clients publics (tels que des applications mobiles), envisagez d'utiliser App Check pour protéger ce serveur au lieu de GMP.

Présentation des étapes d'implémentation

En règle générale, voici les étapes à suivre pour intégrer votre application à App Check :

1. Ajoutez Firebase à votre application.
2. Ajoutez et initialisez la bibliothèque App Check.
3. Ajoutez le fournisseur de jetons à votre application.
4. Initialisez les API Maps JS et App Check.
5. Activez le débogage.
6. Surveillez les requêtes de votre application et décidez de l'application.

Une fois l'intégration à App Check effectuée, vous pourrez afficher les métriques de trafic backend dans la console Firebase. Ces métriques fournissent une répartition des requêtes selon qu'elles sont accompagnées ou non d'un jeton App Check valide. Pour en savoir plus, consultez la documentation Firebase App Check.

Lorsque vous êtes sûr que la plupart des requêtes proviennent de sources légitimes et que les utilisateurs ont installé la dernière version de votre application incluant votre implémentation d'App Check, vous pouvez activer l'application. Une fois l'application activée, App Check rejettera tout le trafic sans jeton App Check valide.

Éléments à prendre en compte lors de la planification d'une intégration App Check

Voici quelques éléments à prendre en compte lors de la planification de votre intégration :

• L'un des fournisseurs d'attestation que nous recommandons, reCAPTCHA Enterprise,facture plus de 10 000 évaluations par mois.

  L'autre fournisseur d'attestation que nous recommandons, reCAPTCHA v3, est soumis à un quota au-delà duquel le trafic n'est plus évalué.

  Vous pouvez choisir d'utiliser un fournisseur d'attestation personnalisé, bien qu'il s'agisse d'un cas d'utilisation avancé. Pour en savoir plus, consultez la documentation App Check.

• Les utilisateurs de votre application constateront une certaine latence au démarrage. Toutefois, par la suite, toute nouvelle attestation périodique s'effectuera en arrière-plan et les utilisateurs ne devraient plus constater de latence. La latence exacte au démarrage dépend du fournisseur d'attestation que vous choisissez.

  La durée de validité du jeton App Check (le délai de vie ou TTL) détermine la fréquence des nouvelles attestations. Cette durée peut être configurée dans la console Firebase. La nouvelle attestation a lieu lorsque environ la moitié du TTL s'est écoulée. Pour en savoir plus, consultez la documentation Firebase de votre fournisseur d'attestation.

Intégrer votre application à App Check

Conditions préalables et exigences

• Une application avec la dernière version hebdomadaire ou trimestrielle des bibliothèques Maps JS API et Core chargées.
• Un projet Cloud avec l'API Maps JS activée.
• Vous devez être le propriétaire de l'application dans Cloud Console.
• Vous aurez besoin de l'ID de projet de l'application dans Cloud Console.

Étape 1 : Ajouter Firebase à votre application

Suivez les instructions de la documentation pour les développeurs Firebase afin d'ajouter Firebase à votre application.

Étape 2 : Ajouter la bibliothèque App Check et initialiser App Check

Firebase fournit des instructions pour chaque fournisseur d'attestation par défaut. Ces instructions vous expliquent comment configurer un projet Firebase et ajouter la bibliothèque App Check à votre application. Suivez les exemples de code fournis pour initialiser App Check.

• Instructions pour reCAPTCHA Enterprise.

• Instructions pour reCAPTCHA v3.

Étape 3 : Charger les bibliothèques de l'API Maps JS

1. Chargez les bibliothèques Core et Maps comme indiqué dans l'extrait suivant. Pour en savoir plus et obtenir des instructions, consultez la documentation de l'API Maps JavaScript.

   async function init() {
     const {Settings} = await google.maps.importLibrary('core');
     const {Map} = await google.maps.importLibrary('maps');
   }  

Étape 4 : Initialiser les API Maps et App Check

1. Initialisez App Check à l'aide de la configuration fournie par la console Firebase.
   • Instructions pour reCAPTCHA v3.
   • Instructions pour reCAPTCHA Enterprise
2. Assurez-vous que les requêtes adressées à l'API Maps JS sont accompagnées de jetons App Check :

     import {initializeApp} from 'firebase/app';
     import {
       getToken,
       initializeAppCheck,
       ReCaptchaEnterpriseProvider,
     } from 'firebase/app-check';
       
     async function init() {
       const {Settings} = await google.maps.importLibrary('core');
       const {Map} = await google.maps.importLibrary('maps');
     
       const app = initializeApp({
         // Your firebase configuration object
       });
     
       // Pass your reCAPTCHA Enterprise site key to initializeAppCheck().
       const appCheck = initializeAppCheck(app, {
         provider: new ReCaptchaEnterpriseProvider(
           'abcdefghijklmnopqrstuvwxy-1234567890abcd',
         ),
     
         // Optional argument. If true, the SDK automatically refreshes App Check
         // tokens as needed.
         isTokenAutoRefreshEnabled: true,
       });
     
       Settings.getInstance().fetchAppCheckToken = () =>
           getToken(appCheck, /* forceRefresh = */ false);
     
       // Load a map
       map = new Map(document.getElementById("map"), {
         center: { lat: 37.4161493, lng: -122.0812166 },
         zoom: 8,
       });
     }  
     

Étape 5 : Activer le débogage (facultatif)

Si vous souhaitez développer et tester votre application localement ou l'exécuter dans un environnement d'intégration continue (CI), vous pouvez créer une version de débogage de votre application qui utilise un secret de débogage pour obtenir des jetons App Check valides. Cela vous permet d'éviter d'utiliser de vrais fournisseurs d'attestation dans votre version de débogage.

Pour tester votre application localement :

• Activez le fournisseur de débogage à des fins de développement.
• Vous recevrez un UUID4 aléatoire généré automatiquement (appelé _jeton de débogage_ dans la documentation App Check) à partir des journaux de débogage du SDK. Ajoutez ce jeton à la console Firebase.
• Pour en savoir plus et obtenir des instructions, consultez la documentation App Check.

Pour exécuter votre application dans un environnement d'intégration continue :

• Générez un UUID4 aléatoire à partir de la console Firebase.
• Ajoutez l'UUID4 en tant que jeton de débogage, puis copiez-le dans un magasin de secrets auquel les tests d'intégration continue accéderont par exécution de test.
• Pour en savoir plus et obtenir des instructions, consultez la documentation App Check.

Étape 6 : Surveiller les requêtes de votre application et décider de l'application

Avant de commencer l'application, assurez-vous de ne pas perturber les utilisateurs légitimes de votre application. Pour ce faire, accédez à l'écran des métriques App Check pour voir le pourcentage de trafic de votre application qui est validé, obsolète ou illégitime. Une fois que vous constatez que la majorité de votre trafic est validée, vous pouvez activer l'application.

Pour en savoir plus et obtenir des instructions, consultez la documentation Firebase App Check.