استخدام خدمة App Check لتأمين مفتاح واجهة برمجة التطبيقات
توفّر خدمة فحص التطبيقات من Firebase الحماية للمكالمات من تطبيقك إلى "منصة خرائط Google" من خلال حظر الزيارات الواردة من مصادر أخرى غير التطبيقات المشروعة. ويتم ذلك من خلال البحث عن رمز مميّز من موفّر شهادات مثل Play Integrity. يساعد دمج تطبيقاتك مع App Check في الحماية من الطلبات الضارة، وبالتالي لن يتم تحصيل رسوم منك مقابل طلبات البيانات غير المصرّح بها من واجهة برمجة التطبيقات.
هل خدمة App Check مناسبة لي؟
ننصح باستخدام App Check في معظم الحالات، ولكن لا حاجة إليه أو لا يتوفّر في الحالات التالية:
- أنت تستخدم الإصدار الأصلي من Places SDK. تتوفّر خدمة App Check فقط لحزمة تطوير البرامج Places SDK (الإصدار الجديد).
- التطبيقات الخاصة أو التجريبية إذا لم يكن تطبيقك متاحًا للجميع، لن تحتاج إلى استخدام App Check.
- إذا كان تطبيقك يُستخدم فقط من خادم إلى خادم، لن تحتاج إلى App Check. ومع ذلك، إذا كان الخادم الذي يتواصل مع "منصة Google للتسويق" يستخدمه عملاء عامون (مثل تطبيقات الأجهزة الجوّالة)، ننصحك باستخدام App Check لحماية هذا الخادم بدلاً من "منصة Google للتسويق".
- لن تعمل جهات توفير خدمة التصديق المقترَحة في App Check على الأجهزة التي تعتبرها جهة توفير خدمة التصديق مخترَقة أو غير موثوق بها. إذا كنت بحاجة إلى توفير الدعم لهذه الأجهزة، يمكنك نشر خدمة إثبات صحة مخصّصة. لمزيد من المعلومات، راجِع التعليمات.
نظرة عامة على خطوات التنفيذ
في ما يلي الخطوات التي يجب اتّباعها لدمج تطبيقك مع خدمة App Check:
- أضِف Firebase إلى تطبيقك.
- أضِف مكتبة App Check واضبطها.
- أضِف موفّر الرمز المميّز.
- فعِّل تصحيح الأخطاء.
- يمكنك مراقبة طلبات تطبيقك وتحديد ما إذا كنت تريد فرض قيود.
بعد الدمج مع App Check، ستتمكّن من الاطّلاع على مقاييس عدد الزيارات إلى الخلفية في وحدة تحكّم Firebase. تقدّم هذه المقاييس تفصيلاً للطلبات حسب ما إذا كانت مصحوبة برمز مميّز صالح من App Check. لمزيد من المعلومات، يُرجى الاطّلاع على مستندات ميزة "فحص التطبيقات من Firebase".
عند التأكّد من أنّ معظم الطلبات واردة من مصادر مشروعة وأنّ المستخدمين قد ثبّتوا أحدث إصدار من تطبيقك يتضمّن عملية تنفيذ App Check، يمكنك تفعيل فرض استخدامها. بعد تفعيل ميزة "فرض الاستخدام"، سترفض خدمة App Check جميع الزيارات التي لا تتضمّن رمزًا مميزًا صالحًا من App Check.
اعتبارات عند التخطيط لعملية دمج App Check
في ما يلي بعض الأمور التي يجب وضعها في الاعتبار أثناء التخطيط لعملية الدمج:
تفرض خدمة Play Integrity، وهي مقدّم خدمة شهادات المصادقة الذي ننصح به، حدًا أقصى يوميًا على عدد طلبات فئة حصة الاستخدام العادية لواجهة برمجة التطبيقات. لمزيد من المعلومات حول حدود المكالمات، يُرجى الاطّلاع على صفحة الإعداد في مستندات المطوّرين الخاصة بواجهة Google Play Integrity API.
يمكنك أيضًا اختيار استخدام مقدّم خدمة شهادات مخصّص، ولكنّ هذا خيار متقدّم. لمزيد من المعلومات، اطّلِع على مقالة تنفيذ موفّر خدمة مخصّص في App Check.
-
سيواجه مستخدمو تطبيقك بعض التأخير عند بدء التشغيل. ومع ذلك، بعد ذلك، ستتم أي عملية إعادة إثبات هوية دورية في الخلفية ولن يواجه المستخدمون أي تأخير. يعتمد مقدار وقت الاستجابة الدقيق عند بدء التشغيل على مقدّم خدمة التصديق الذي تختاره.
يحدّد مقدار الوقت الذي يكون فيه رمز App Check المميّز صالحًا (مدة البقاء أو TTL) معدّل تكرار عمليات المصادقة. يمكن ضبط هذه المدة في وحدة تحكّم Firebase. تتم إعادة التصديق عندما ينقضي نصف مدة البقاء (TTL) تقريبًا. لمزيد من المعلومات، راجِع مستندات Firebase لمزوّد خدمة التصديق.
دمج تطبيقك مع خدمة App Check
المتطلبات الأساسية ومتطلبات الأهلية
- تطبيق تم دمج الإصدار 4.1 أو إصدار أحدث من حزمة تطوير البرامج Places SDK فيه.
- الملف المرجعي لخوارزمية SHA-256 لتطبيقك
- اسم حزمة تطبيقك
- يجب أن تكون مالك التطبيق في Cloud Console.
- ستحتاج إلى رقم تعريف مشروع التطبيق من Cloud Console
الخطوة 1: إضافة Firebase إلى تطبيقك
اتّبِع التعليمات الواردة في مستندات مطوّري Firebase لإضافة Firebase إلى تطبيقك.
الخطوة 2: إضافة مكتبة App Check وإعدادها
للحصول على معلومات حول استخدام Play Integrity، وهو مقدّم خدمة الإقرار التلقائي، يمكنك الاطّلاع على بدء استخدام App Check مع Play Integrity على Android.
- إذا لم يسبق لك إجراء ذلك، ادمِج Places SDK في تطبيقك.
بعد ذلك، عليك تهيئة App Check وعميل Places.
// Initialize App Check FirebaseApp.initializeApp(/* context= */ this); FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance(); firebaseAppCheck.installAppCheckProviderFactory( PlayIntegrityAppCheckProviderFactory.getInstance()); // Initialize Places SDK Places.initializeWithNewPlacesApiEnabled(context, API_KEY); PlacesClient client = Places.createClient(context);.
الخطوة 3: إضافة موفِّر الرموز المميّزة
بعد تهيئة Places API، استدعِ setPlacesAppCheckTokenProvider() لضبط PlacesAppCheckTokenProvider.
Places.initializeWithNewPlacesApiEnabled(context, API_KEY); Places.setPlacesAppCheckTokenProvider(new TokenProvider()); PlacesClient client = Places.createClient(context);.
في ما يلي نموذج لتنفيذ واجهة أداة جلب الرموز المميزة:
/** Sample client implementation of App Check token fetcher interface. */ static class TokenProvider implements PlacesAppCheckTokenProvider { @Override public ListenableFuture<String> fetchAppCheckToken() { SettableFuture<String> future = SettableFuture.create(); FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener( appCheckToken -> { future.set(appCheckToken.getToken()); }) .addOnFailureListener( ex -> { future.setException(ex); }); return future; } }
الخطوة 4: تفعيل تصحيح الأخطاء (اختياري)
إذا أردت تطوير تطبيقك واختباره على جهازك أو تشغيله في بيئة دمج متواصل (CI)، يمكنك إنشاء إصدار تصحيح أخطاء من تطبيقك يستخدم سر تصحيح الأخطاء للحصول على رموز مميّزة صالحة من App Check. يتيح لك ذلك تجنُّب استخدام مقدّمي خدمات التصديق الفعليين في إصدار التصحيح.
لتشغيل تطبيقك في محاكي أو على جهاز اختباري، اتّبِع الخطوات التالية:
- أضِف مكتبة App Check إلى ملف
build.gradle. - اضبط App Check لاستخدام مصنع موفّر تصحيح الأخطاء في إصدار تصحيح الأخطاء.
- شغِّل التطبيق، ما سيؤدي إلى إنشاء رمز مميّز لتصحيح الأخطاء على الجهاز. أضِف هذا الرمز المميّز إلى وحدة تحكّم Firebase.
- لمزيد من المعلومات والتعليمات، يُرجى الاطّلاع على مستندات App Check.
لتشغيل تطبيقك في بيئة CI، اتّبِع الخطوات التالية:
- أنشئ رمزًا مميّزًا لتصحيح الأخطاء في وحدة تحكّم Firebase وأضِفه إلى مخزن مفاتيح الأمان في نظام التكامل المستمر.
- أضِف مكتبة App Check إلى ملف
build.gradle. - اضبط صيغة الإصدار في عملية الدمج المتواصل لاستخدام رمز تصحيح الأخطاء.
- يمكنك تضمين الرمز في فئات الاختبار التي تحتاج إلى رمز مميّز من App Check باستخدام
DebugAppCheckTestHelper. - لمزيد من المعلومات والتعليمات، يُرجى الاطّلاع على مستندات App Check.
الخطوة 5: مراقبة طلبات تطبيقك وتحديد إجراء التنفيذ
قبل البدء في فرض استخدام App Check، عليك التأكّد من أنّك لن تعيق المستخدمين الشرعيين لتطبيقك. ولإجراء ذلك، انتقِل إلى شاشة مقاييس App Check لمعرفة النسبة المئوية لعدد الزيارات التي تم التحقّق منها أو التي انتهت صلاحيتها أو غير الشرعية في تطبيقك. بعد التأكّد من أنّ معظم الزيارات تم التحقّق منها، يمكنك تفعيل خيار فرض استخدامها.
لمزيد من المعلومات والتعليمات، يُرجى الاطّلاع على مستندات "فحص التطبيقات من Firebase".