Platform seçin: Android iOS JavaScript

API anahtarınızın güvenliğini sağlamak için Uygulama Kontrolü'nü kullanma

Firebase Uygulama Kontrolü, meşru uygulamalar dışındaki kaynaklardan gelen trafiği engelleyerek uygulamanızdan Google Haritalar Platformu'na yapılan çağrıları korur. Bu işlem, Play Integrity gibi bir onay sağlayıcıdan alınan jetonun varlığını kontrol ederek yapılır. Uygulamalarınızı Uygulama Kontrolü ile entegre etmek, kötü amaçlı isteklere karşı korunmanıza yardımcı olur. Böylece, yetkisiz API çağrıları için sizden ücret alınmaz.

Uygulama Kontrolü benim için uygun mu?

Çoğu durumda Uygulama Kontrolü önerilir. Ancak aşağıdaki durumlarda Uygulama Kontrolü gerekli değildir veya desteklenmez:

  • Orijinal Places SDK'yı kullanıyorsunuz. App Check yalnızca Yerler SDK'sı (Yeni) için desteklenir.
  • Özel veya deneysel uygulamalar. Uygulamanıza herkesin erişimi yoksa Uygulama Denetimi gerekli değildir.
  • Uygulamanız yalnızca sunucudan sunucuya kullanılıyorsa App Check'e gerek yoktur. Ancak GMP ile iletişim kuran sunucu herkese açık istemciler (ör. mobil uygulamalar) tarafından kullanılıyorsa GMP yerine bu sunucuyu korumak için App Check'i kullanmayı düşünebilirsiniz.
  • App Check'in önerdiği onay sağlayıcılar, onay sağlayıcınız tarafından güvenliği ihlal edilmiş veya güvenilmez olarak kabul edilen cihazlarda çalışmaz. Bu tür cihazları desteklemeniz gerekiyorsa özel bir onay hizmeti dağıtabilirsiniz. Daha fazla bilgi için talimatları inceleyin.

Uygulama adımlarına genel bakış

Uygulamanızı App Check ile entegre etmek için genel olarak şu adımları uygulayacaksınız:

  1. Firebase'i uygulamanıza ekleyin.
  2. App Check kitaplığını ekleyin ve başlatın.
  3. Jeton sağlayıcıyı ekleyin.
  4. Hata ayıklamayı etkinleştirin.
  5. Uygulama isteklerinizi izleyin ve yaptırım konusunda karar verin.

App Check ile entegrasyonu tamamladıktan sonra Firebase konsolunda arka uç trafiği metriklerini görebilirsiniz. Bu metrikler, isteklerin geçerli bir Uygulama Kontrolü jetonuyla birlikte gönderilip gönderilmediğine göre dökümünü sağlar. Daha fazla bilgi için Firebase Uygulama Kontrolü dokümanlarını inceleyin.

Çoğu isteğin meşru kaynaklardan geldiğinden ve kullanıcıların, App Check uygulamanızı içeren uygulamanızın en son sürümüne güncellediğinden emin olduğunuzda zorlamayı etkinleştirebilirsiniz. Zorunlu kılma etkinleştirildikten sonra Uygulama Kontrolü, geçerli bir Uygulama Kontrolü jetonu içermeyen tüm trafiği reddeder.

Uygulama Denetimi entegrasyonu planlarken dikkat edilmesi gerekenler

Entegrasyonunuzu planlarken göz önünde bulundurmanız gereken bazı noktalar:

  • Önerdiğimiz onay sağlayıcı Play Integrity'nin Standart API kullanım katmanı için günlük çağrı sınırı vardır. Arama sınırları hakkında daha fazla bilgi için Google Play Bütünlüğü geliştirici belgelerindeki Kurulum sayfasını inceleyin.

    Gelişmiş bir kullanım alanı olsa da özel bir onay sağlayıcıyı da kullanabilirsiniz. Daha fazla bilgi için Özel bir App Check sağlayıcısı uygulama başlıklı makaleyi inceleyin.

  • Uygulamanızın kullanıcıları, başlatma sırasında bir miktar gecikme yaşayacaktır. Ancak daha sonra, düzenli olarak yeniden onaylama işlemleri arka planda gerçekleşir ve kullanıcılar artık herhangi bir gecikme yaşamaz. Başlangıçtaki tam gecikme miktarı, seçtiğiniz onay sağlayıcıya bağlıdır.

    Uygulama Kontrolü jetonunun geçerli olduğu süre (geçerlilik süresi veya TTL), yeniden onaylama sıklığını belirler. Bu süre Firebase konsolunda yapılandırılabilir. Yeniden onaylama, TTL'nin yaklaşık yarısı geçtiğinde gerçekleşir. Daha fazla bilgi için onay sağlayıcınızın Firebase dokümanlarına bakın.

Uygulamanızı App Check ile entegre etme

Ön koşullar ve gereksinimler

  • 4.1 veya sonraki sürümlerde Places SDK'sı entegre edilmiş bir uygulama
  • Uygulamanızın SHA-256 parmak izi.
  • Uygulamanızın paket adı.
  • Cloud Console'da uygulamanın sahibi olmanız gerekir.
  • Cloud Console'dan uygulamanın proje kimliğini almanız gerekir.

1. adım: Firebase'i uygulamanıza ekleyin

Firebase'i uygulamanıza eklemek için Firebase geliştirici dokümanlarındaki talimatları uygulayın.

2. adım: Uygulama Kontrolü kitaplığını ekleyin ve Uygulama Kontrolü'nü başlatın

Varsayılan onay sağlayıcı olan Play Integrity'yi kullanma hakkında bilgi edinmek için Android'de Play Integrity ile App Check'i kullanmaya başlama başlıklı makaleyi inceleyin.

  1. Henüz yapmadıysanız Places SDK'yı uygulamanıza entegre edin.

  2. Ardından, App Check ve Places istemcisini başlatın.

    // Initialize App Check
FirebaseApp.initializeApp(/* context= */ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());
  
// Initialize Places SDK
Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
PlacesClient client = Places.createClient(context);.

3. adım: Jeton sağlayıcıyı ekleyin

Places API'yi başlattıktan sonra setPlacesAppCheckTokenProvider() işlevini çağırarak PlacesAppCheckTokenProvider değerini ayarlayın. 

Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
Places.setPlacesAppCheckTokenProvider(new TokenProvider());
PlacesClient client = Places.createClient(context);.

Aşağıda, jeton alıcı arayüzünün örnek bir uygulaması verilmiştir: 

  /** Sample client implementation of App Check token fetcher interface. */
  static class TokenProvider implements PlacesAppCheckTokenProvider {
    @Override
    public ListenableFuture<String> fetchAppCheckToken() {
      SettableFuture<String> future = SettableFuture.create();
      FirebaseAppCheck.getInstance()
          .getAppCheckToken(false)
          .addOnSuccessListener(
              appCheckToken -> {
                future.set(appCheckToken.getToken());
              })
          .addOnFailureListener(
              ex -> {
                future.setException(ex);
              });

      return future;
    }
  }

4. adım: Hata ayıklamayı etkinleştirin (isteğe bağlı)

Uygulamanızı yerel olarak geliştirip test etmek veya sürekli entegrasyon (CI) ortamında çalıştırmak istiyorsanız geçerli App Check jetonları almak için hata ayıklama gizlisi kullanan bir hata ayıklama derlemesi oluşturabilirsiniz. Bu sayede, hata ayıklama derlemenizde gerçek onay sağlayıcıları kullanmaktan kaçınabilirsiniz.

Uygulamanızı bir emülatörde veya test cihazında çalıştırmak için:

  • App Check kitaplığını build.gradle dosyanıza ekleyin.
  • Hata ayıklama derlemenizde hata ayıklama sağlayıcı fabrikasını kullanmak için App Check'i yapılandırın.
  • Uygulamayı başlatın. Bu işlem, yerel bir hata ayıklama jetonu oluşturur. Bu jetonu Firebase konsoluna ekleyin.
  • Daha fazla bilgi ve talimat için App Check dokümanlarına bakın.

Uygulamanızı bir CI ortamında çalıştırmak için:

  • Firebase konsolunda bir hata ayıklama jetonu oluşturun ve bunu CI sisteminizin güvenli anahtar deposuna ekleyin.
  • App Check kitaplığını build.gradle dosyanıza ekleyin.
  • CI derleme varyantınızı hata ayıklama jetonunu kullanacak şekilde yapılandırın.
  • Test sınıflarınızda, App Check jetonu gerektiren kodu DebugAppCheckTestHelper ile sarmalayın.
  • Daha fazla bilgi ve talimat için App Check dokümanlarına bakın.

5. adım: Uygulama isteklerinizi izleyin ve yaptırım konusunda karar verin

Yaptırım uygulamaya başlamadan önce uygulamanızın meşru kullanıcılarının hizmetten yararlanmasını engellemeyeceğinizden emin olmanız gerekir. Bunu yapmak için uygulama trafiğinizin hangi yüzdesinin doğrulandığını, güncel olmadığını veya yasa dışı olduğunu görmek üzere Uygulama Kontrolü metrikleri ekranını ziyaret edin. Trafiğinizin çoğunun doğrulandığını gördüğünüzde zorunlu kılmayı etkinleştirebilirsiniz.

Daha fazla bilgi ve talimat için Firebase Uygulama Kontrolü dokümanlarına bakın.