Utilizzare App Check per proteggere la chiave API

Firebase App Check fornisce protezione per le chiamate dalla tua app a Google Maps Platform bloccando il traffico proveniente da origini diverse dalle app legittime. A questo scopo, controlla la presenza di un token di un provider di attestazione come reCAPTCHA Enterprise. L'integrazione delle tue app con App Check aiuta a proteggerle dalle richieste dannose, in modo che non ti vengano addebitati costi per le chiamate API non autorizzate.

App Check è la soluzione giusta per me?

App Check è consigliato nella maggior parte dei casi, ma non è necessario o non è supportato nei seguenti casi:

• Stai utilizzando l'SDK Places originale. App Check è supportato solo per l'SDK Places (New).
• App private o sperimentali. Se la tua app non è accessibile pubblicamente, App Check non è necessario.
• Se la tua app viene utilizzata solo da server a server, App Check non è necessario. Tuttavia, se il server che comunica con GMP viene utilizzato da client pubblici (ad esempio app mobile), valuta la possibilità di utilizzare App Check per proteggere il server anziché GMP.

Panoramica dei passaggi di implementazione

A livello generale, ecco i passaggi da seguire per integrare la tua app con App Check:

1. Aggiungi Firebase alla tua app.
2. Aggiungi e inizializza la libreria App Check.
3. Aggiungi il provider di token alla tua app.
4. Inizializza le API Places e App Check.
5. Attiva il debug.
6. Monitora le richieste dell'app e decidi se applicare App Check.

Una volta completata l'integrazione con App Check, potrai visualizzare le metriche del traffico di backend nella console Firebase. Queste metriche forniscono una suddivisione delle richieste in base alla presenza o meno di un token App Check valido. Per ulteriori informazioni, consulta la documentazione di Firebase App Check.

Quando hai la certezza che la maggior parte delle richieste proviene da fonti legittime e che gli utenti hanno aggiornato all'ultima versione della tua app che include l'implementazione di App Check, puoi attivare l'applicazione. Una volta attivata l'applicazione, App Check rifiuterà tutto il traffico senza un token App Check valido.

Considerazioni sulla pianificazione di un'integrazione di App Check

Ecco alcune cose da considerare durante la pianificazione dell'integrazione:

• Uno dei provider di attestazione che consigliamo, reCAPTCHA Enterprise,addebita un costo per più di 10.000 valutazioni al mese.

  L'altro provider di attestazione che consigliamo, reCAPTCHA v3, ha una quota, dopo la quale il traffico non verrà valutato.

  Puoi scegliere di utilizzare un provider di attestazione personalizzato, anche se si tratta di un caso d'uso avanzato. Per ulteriori informazioni, consulta la documentazione di App Check.

• Gli utenti della tua app riscontreranno una certa latenza all'avvio. Tuttavia, in seguito, qualsiasi ri-attestazione periodica verrà eseguita in background e gli utenti non dovrebbero più riscontrare alcuna latenza. La quantità esatta di latenza all'avvio dipende dal provider di attestazione scelto.

  La durata di validità del token App Check (la durata o TTL) determina la frequenza delle ri-attestazioni. Questa durata può essere configurata nella console Firebase. La ri-attestazione si verifica quando è trascorso circa metà del TTL. Per ulteriori informazioni, consulta la documentazione di Firebase per il tuo provider di attestazione.

Integrare l'app con App Check

Prerequisiti e requisiti

• Un'app con le ultime versioni settimanali o trimestrali delle librerie Maps JS API, Core e Places caricate.
• Un progetto cloud con le API Maps JS e API Places (New) attivate.
• Devi essere il proprietario dell'app nella console Cloud.
• Avrai bisogno dell'ID progetto dell'app dalla console Cloud.

Passaggio 1: aggiungi Firebase alla tua app

Segui le istruzioni nella documentazione per gli sviluppatori di Firebase per aggiungere Firebase alla tua app.

Passaggio 2: aggiungi la libreria App Check e inizializza App Check

Firebase fornisce istruzioni per ogni provider di attestazione predefinito. Queste istruzioni mostrano come configurare un progetto Firebase e aggiungere la libreria App Check alla tua app. Segui gli esempi di codice forniti per inizializzare App Check.

• Istruzioni per reCAPTCHA Enterprise.

• Istruzioni per reCAPTCHA v3.

Passaggio 3: carica le librerie Maps JS API

1. Carica le librerie Core, Maps e Places come mostrato nel seguente snippet. Per ulteriori informazioni e istruzioni, consulta la documentazione della classe Place dell'API Maps JavaScript.

   async function init() {
     const {Settings} = await google.maps.importLibrary('core');
     const {Map} = await google.maps.importLibrary('maps');
     const {Place} = await google.maps.importLibrary('places');
   }  

Passaggio 4: inizializza le API Places e App Check

1. Inizializza App Check utilizzando la configurazione fornita dalla console Firebase.
   • Istruzioni per reCAPTCHA v3.
   • Istruzioni per reCAPTCHA Enterprise.
2. Assicurati che le richieste all'API Maps JS siano accompagnate da token App Check:

     async function init() {
       const {Settings} = await google.maps.importLibrary('core');
       const {Map} = await google.maps.importLibrary('maps');
       const {Place} = await google.maps.importLibrary('places');
     
       const app = initializeApp({
         // Your firebase configuration object
       });
     
       // Pass your reCAPTCHA Enterprise site key to initializeAppCheck().
       const appCheck = initializeAppCheck(app, {
         provider: new ReCaptchaEnterpriseProvider(
           'abcdefghijklmnopqrstuvwxy-1234567890abcd',
         ),
     
         // Optional argument. If true, the SDK automatically refreshes App Check
         // tokens as needed.
         isTokenAutoRefreshEnabled: true,
       });
     
       Settings.getInstance().fetchAppCheckToken = () =>
           getToken(appCheck, /* forceRefresh = */ false);
     
       // Make a Places JS request
       const place = new Place({id: 'ChIJN5Nz71W3j4ARhx5bwpTQEGg'});
       await place.fetchFields({fields: ['*']});
     
       // Load a map
       map = new Map(document.getElementById("map"), {
         center: { lat: 37.4161493, lng: -122.0812166 },
         zoom: 8,
       });
     }  
     

Passaggio 5: attiva il debug (facoltativo)

Se vuoi sviluppare e testare la tua app localmente o eseguirla in un ambiente di integrazione continua (CI), puoi creare una build di debug della tua app che utilizza una chiave segreta di debug per ottenere token App Check validi. In questo modo, puoi evitare di utilizzare provider di attestazione reali nella build di debug.

Per testare l'app localmente:

• Attiva il provider di debug per scopi di sviluppo.
• Riceverai un UUID4 casuale generato automaticamente (chiamato _token di debug_ nella documentazione di App Check) dai log di debug dell'SDK. Aggiungi questo token alla console Firebase.
• Per ulteriori informazioni e istruzioni, consulta la documentazione di App Check.

Per eseguire l'app in un ambiente CI:

• Genera un UUID4 casuale dalla console Firebase.
• Aggiungi l'UUID4 come token di debug, quindi copialo in un archivio di chiavi segrete a cui i test CI accederanno per ogni esecuzione di test.
• Per ulteriori informazioni e istruzioni, consulta la documentazione di App Check.

Passaggio 6: monitora le richieste dell'app e decidi se applicare App Check

Prima di iniziare l'applicazione, devi assicurarti di non interrompere l'utilizzo dell'app da parte degli utenti legittimi. A questo scopo, visita la schermata delle metriche di App Check per vedere la percentuale di traffico dell'app verificata, obsoleta o illegittima. Una volta verificato che la maggior parte del traffico è verificata, puoi attivare l'applicazione.

Per ulteriori informazioni e istruzioni, consulta la documentazione di Firebase App Check.