Sử dụng App Check để bảo mật khoá API

Tính năng Kiểm tra ứng dụng của Firebase giúp bảo vệ các lệnh gọi từ ứng dụng của bạn đến Google Maps Platform bằng cách chặn lưu lượng truy cập đến từ các nguồn không phải là ứng dụng hợp lệ. Ứng dụng thực hiện việc này bằng cách kiểm tra mã thông báo từ một trình cung cấp chứng thực như Tính toàn vẹn của Play. Việc tích hợp ứng dụng của bạn với tính năng Kiểm tra ứng dụng giúp bảo vệ khỏi các yêu cầu độc hại, nhờ đó bạn không bị tính phí cho các lệnh gọi API trái phép.

Tính năng Kiểm tra ứng dụng có phù hợp với tôi không?

Bạn nên dùng App Check trong hầu hết các trường hợp. Tuy nhiên, bạn không cần dùng App Check hoặc App Check không được hỗ trợ trong các trường hợp sau:

Bạn đang sử dụng Places SDK ban đầu. App Check chỉ được hỗ trợ cho Places SDK (Mới).
Ứng dụng riêng tư hoặc ứng dụng thử nghiệm. Nếu ứng dụng của bạn không truy cập được công khai, thì bạn không cần App Check.
Nếu ứng dụng của bạn chỉ được dùng cho máy chủ với máy chủ, thì bạn không cần App Check. Tuy nhiên, nếu máy chủ giao tiếp với GMP được dùng bởi các ứng dụng công khai (chẳng hạn như ứng dụng di động), hãy cân nhắc sử dụng App Check để bảo vệ máy chủ đó thay vì GMP.
Các nhà cung cấp chứng thực được App Check đề xuất sẽ không hoạt động trên những thiết bị mà nhà cung cấp chứng thực của bạn cho là bị xâm nhập hoặc không đáng tin cậy. Nếu cần hỗ trợ những thiết bị như vậy, bạn có thể triển khai một dịch vụ chứng thực tuỳ chỉnh. Để biết thêm thông tin, hãy xem hướng dẫn.

Tổng quan về các bước triển khai

Nhìn chung, đây là các bước bạn sẽ thực hiện để tích hợp ứng dụng của mình với App Check:

Thêm Firebase vào ứng dụng của bạn.
Thêm và khởi chạy thư viện Kiểm tra ứng dụng.
Thêm nhà cung cấp mã thông báo.
Bật tính năng gỡ lỗi.
Giám sát các yêu cầu của ứng dụng và quyết định về việc thực thi.

Sau khi tích hợp với tính năng Kiểm tra ứng dụng, bạn sẽ có thể xem các chỉ số lưu lượng truy cập phụ trợ trên bảng điều khiển của Firebase. Các chỉ số này cung cấp thông tin chi tiết về các yêu cầu theo việc yêu cầu đó có đi kèm với mã thông báo App Check hợp lệ hay không. Hãy xem tài liệu về tính năng Kiểm tra ứng dụng của Firebase để biết thêm thông tin.

Khi chắc chắn rằng hầu hết các yêu cầu đều đến từ các nguồn hợp lệ và người dùng đã cập nhật lên phiên bản mới nhất của ứng dụng (có bao gồm việc triển khai App Check), bạn có thể bật chế độ thực thi. Sau khi bạn bật chế độ thực thi, App Check sẽ từ chối tất cả lưu lượng truy cập không có mã thông báo App Check hợp lệ.

Những điều cần cân nhắc khi lên kế hoạch tích hợp App Check

Sau đây là một số điều cần cân nhắc khi bạn lên kế hoạch tích hợp:

Nhà cung cấp chứng thực mà chúng tôi đề xuất là Tính toàn vẹn của Play. Nhà cung cấp này có giới hạn số lần gọi hằng ngày cho cấp sử dụng API Chuẩn. Để biết thêm thông tin về hạn mức gọi, hãy xem trang Thiết lập trong tài liệu dành cho nhà phát triển của API Tính toàn vẹn của Google Play.

Bạn cũng có thể chọn sử dụng một trình cung cấp chứng thực tuỳ chỉnh, mặc dù đây là một trường hợp sử dụng nâng cao. Để biết thêm thông tin, hãy xem bài viết Triển khai trình cung cấp App Check tuỳ chỉnh.
Người dùng ứng dụng của bạn sẽ gặp phải một số độ trễ khi khởi động. Tuy nhiên, sau đó, mọi quy trình chứng thực lại định kỳ sẽ diễn ra trong nền và người dùng sẽ không còn gặp phải bất kỳ độ trễ nào nữa. Độ trễ chính xác khi khởi động phụ thuộc vào nhà cung cấp chứng thực mà bạn chọn.

Khoảng thời gian mà mã thông báo App Check có hiệu lực (thời gian tồn tại hoặc TTL) xác định tần suất chứng thực lại. Bạn có thể định cấu hình khoảng thời gian này trong bảng điều khiển của Firebase. Quy trình chứng thực lại xảy ra khi khoảng một nửa thời gian TTL đã trôi qua. Để biết thêm thông tin, hãy xem tài liệu của Firebase cho trình chứng thực của bạn.

Tích hợp ứng dụng của bạn với App Check

Điều kiện tiên quyết và yêu cầu

Một ứng dụng đã tích hợp Places SDK phiên bản 4.1 trở lên.
Vân tay SHA-256 cho ứng dụng của bạn.
Tên gói của ứng dụng.
Bạn phải là chủ sở hữu của ứng dụng trong Bảng điều khiển Google Cloud.
Bạn sẽ cần mã dự án của ứng dụng trong Cloud Console

Bước 1: Thêm Firebase vào ứng dụng của bạn

Làm theo hướng dẫn trong tài liệu dành cho nhà phát triển của Firebase để thêm Firebase vào ứng dụng của bạn.

Bước 2: Thêm thư viện Kiểm tra ứng dụng và khởi chạy Kiểm tra ứng dụng

Để biết thông tin về cách sử dụng API Tính toàn vẹn của Play (trình cung cấp chứng thực mặc định), hãy xem phần Bắt đầu sử dụng tính năng Kiểm tra ứng dụng bằng API Tính toàn vẹn của Play trên Android.

Nếu bạn chưa làm việc này, hãy tích hợp Places SDK vào ứng dụng của bạn.

Tiếp theo, hãy khởi động App Check và Places client.

// Initialize App Check
FirebaseApp.initializeApp(/* context= */ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());
  
// Initialize Places SDK
Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
PlacesClient client = Places.createClient(context);.

Bước 3: Thêm trình cung cấp mã thông báo

Sau khi khởi chạy Places API, hãy gọi setPlacesAppCheckTokenProvider() để đặt PlacesAppCheckTokenProvider.

Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
Places.setPlacesAppCheckTokenProvider(new TokenProvider());
PlacesClient client = Places.createClient(context);.

Dưới đây là ví dụ về cách triển khai giao diện trình tìm nạp mã thông báo:

  /** Sample client implementation of App Check token fetcher interface. */
  static class TokenProvider implements PlacesAppCheckTokenProvider {
    @Override
    public ListenableFuture<String> fetchAppCheckToken() {
      SettableFuture<String> future = SettableFuture.create();
      FirebaseAppCheck.getInstance()
          .getAppCheckToken(false)
          .addOnSuccessListener(
              appCheckToken -> {
                future.set(appCheckToken.getToken());
              })
          .addOnFailureListener(
              ex -> {
                future.setException(ex);
              });

      return future;
    }
  }

Bước 4: Bật chế độ gỡ lỗi (không bắt buộc)

Nếu muốn phát triển và kiểm thử ứng dụng cục bộ hoặc chạy ứng dụng trong môi trường tích hợp liên tục (CI), bạn có thể tạo một bản gỡ lỗi của ứng dụng sử dụng một khoá bí mật gỡ lỗi để lấy mã thông báo App Check hợp lệ. Điều này giúp bạn tránh sử dụng trình cung cấp chứng thực thực trong bản gỡ lỗi.

Cách chạy ứng dụng trong trình mô phỏng hoặc trên thiết bị kiểm thử:

Thêm thư viện Kiểm tra ứng dụng vào tệp build.gradle.
Định cấu hình tính năng Kiểm tra ứng dụng để sử dụng nhà máy nhà cung cấp gỡ lỗi trong bản gỡ lỗi.
Khởi chạy ứng dụng. Thao tác này sẽ tạo một mã gỡ lỗi cục bộ. Thêm mã thông báo này vào bảng điều khiển của Firebase.
Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về App Check.

Cách chạy ứng dụng trong môi trường CI:

Tạo mã thông báo gỡ lỗi trong bảng điều khiển của Firebase và thêm mã thông báo đó vào kho khoá bảo mật của hệ thống CI.
Thêm thư viện Kiểm tra ứng dụng vào tệp build.gradle.
Định cấu hình biến thể bản dựng CI để sử dụng mã thông báo gỡ lỗi.
Bao bọc mã trong các lớp kiểm thử cần có mã thông báo App Check bằng DebugAppCheckTestHelper.
Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về App Check.

Bước 5: Giám sát các yêu cầu của ứng dụng và quyết định thực thi

Trước khi bắt đầu thực thi, bạn cần đảm bảo rằng bạn sẽ không làm gián đoạn người dùng hợp pháp của ứng dụng. Để làm việc này, hãy truy cập vào màn hình chỉ số App Check để xem tỷ lệ phần trăm lưu lượng truy cập của ứng dụng được xác minh, đã lỗi thời hoặc không hợp pháp. Sau khi thấy rằng phần lớn lưu lượng truy cập của bạn đã được xác minh, bạn có thể bật chế độ thực thi.

Hãy xem tài liệu về dịch vụ Kiểm tra ứng dụng của Firebase để biết thêm thông tin và hướng dẫn.