Sử dụng tính năng Kiểm tra ứng dụng để bảo mật khoá API

Tính năng Kiểm tra ứng dụng của Firebase giúp bảo vệ các lệnh gọi từ ứng dụng của bạn đến Nền tảng Google Maps bằng cách chặn lưu lượng truy cập đến từ các nguồn không phải là ứng dụng hợp lệ. Tính năng này thực hiện việc đó bằng cách kiểm tra mã thông báo từ một nhà cung cấp chứng thực như App Attest. Việc tích hợp ứng dụng của bạn với tính năng Kiểm tra ứng dụng giúp bảo vệ khỏi các yêu cầu độc hại, nhờ đó bạn không bị tính phí cho các lệnh gọi API trái phép.

Tính năng Kiểm tra ứng dụng có phù hợp với tôi không?

Bạn nên sử dụng tính năng Kiểm tra ứng dụng trong hầu hết các trường hợp. Tuy nhiên, bạn không cần hoặc không được hỗ trợ tính năng Kiểm tra ứng dụng trong các trường hợp sau:

• Bạn đang sử dụng Places SDK gốc. Tính năng Kiểm tra ứng dụng chỉ được hỗ trợ cho Places SDK (mới).
• Ứng dụng riêng tư hoặc ứng dụng thử nghiệm. Nếu ứng dụng của bạn không được cung cấp công khai, thì bạn không cần tính năng Kiểm tra ứng dụng.
• Nếu ứng dụng của bạn chỉ được dùng cho máy chủ với máy chủ, thì bạn không cần tính năng Kiểm tra ứng dụng. Tuy nhiên, nếu máy chủ giao tiếp với GMP được khách hàng công khai (chẳng hạn như ứng dụng di động) sử dụng, hãy cân nhắc sử dụng tính năng Kiểm tra ứng dụng để bảo vệ máy chủ đó thay vì GMP.
• Các nhà cung cấp chứng thực được đề xuất của tính năng Kiểm tra ứng dụng sẽ không hoạt động trên các thiết bị bị nhà cung cấp chứng thực của bạn coi là bị xâm phạm hoặc không đáng tin cậy. Nếu cần hỗ trợ các thiết bị như vậy, bạn có thể triển khai dịch vụ chứng thực tuỳ chỉnh. Để biết thêm thông tin, hãy xem hướng dẫn.

Tổng quan về các bước triển khai

Nhìn chung, đây là các bước bạn sẽ làm theo để tích hợp ứng dụng của mình với tính năng Kiểm tra ứng dụng:

1. Thêm Firebase vào ứng dụng của bạn.
2. Thêm và khởi chạy thư viện Kiểm tra ứng dụng.
3. Thêm nhà cung cấp mã thông báo vào ứng dụng của bạn.
4. Khởi chạy API Địa điểm và Kiểm tra ứng dụng.
5. Bật tính năng gỡ lỗi.
6. Theo dõi các yêu cầu của ứng dụng và quyết định về việc thực thi.

Sau khi tích hợp với tính năng Kiểm tra ứng dụng, bạn sẽ có thể xem các chỉ số lưu lượng truy cập phụ trợ trên bảng điều khiển của Firebase. Các chỉ số này cung cấp thông tin chi tiết về các yêu cầu theo việc chúng có đi kèm với mã thông báo hợp lệ của tính năng Kiểm tra ứng dụng hay không. Hãy xem tài liệu về tính năng Kiểm tra ứng dụng Firebase để biết thêm thông tin.

Khi bạn chắc chắn rằng hầu hết các yêu cầu đều đến từ các nguồn hợp lệ và người dùng đã cập nhật lên phiên bản mới nhất của ứng dụng có triển khai tính năng Kiểm tra ứng dụng, bạn có thể bật chế độ thực thi. Sau khi bật chế độ thực thi, tính năng Kiểm tra ứng dụng sẽ từ chối tất cả lưu lượng truy cập không có mã thông báo hợp lệ của tính năng Kiểm tra ứng dụng.

Những điều cần cân nhắc khi lên kế hoạch tích hợp tính năng Kiểm tra ứng dụng

Sau đây là một số điều cần cân nhắc khi bạn lên kế hoạch tích hợp:

• Các nhà cung cấp chứng thực mà chúng tôi đề xuất (Kiểm tra thiết bị hoặc App Attest) phải tuân theo hạn mức và giới hạn do Apple đặt ra.

  Bạn có thể chọn sử dụng nhà cung cấp chứng thực tuỳ chỉnh, mặc dù đây là trường hợp sử dụng nâng cao. Hãy xem tài liệu về tính năng Kiểm tra ứng dụng Firebase để biết thêm thông tin.

• Người dùng ứng dụng của bạn sẽ gặp phải một số độ trễ khi khởi động. Tuy nhiên, sau đó, mọi hoạt động chứng thực lại định kỳ sẽ diễn ra ở chế độ nền và người dùng sẽ không còn gặp phải độ trễ nào nữa. Độ trễ chính xác khi khởi động phụ thuộc vào nhà cung cấp chứng thực mà bạn chọn.

  Thời gian có hiệu lực của mã thông báo Kiểm tra ứng dụng (thời gian tồn tại hay TTL) xác định tần suất chứng thực lại. Bạn có thể định cấu hình khoảng thời gian này trong bảng điều khiển của Firebase. Hoạt động chứng thực lại sẽ diễn ra khi khoảng một nửa thời gian TTL đã trôi qua. Để biết thêm thông tin, hãy xem tài liệu về Firebase cho nhà cung cấp chứng thực của bạn.

Tích hợp ứng dụng của bạn với tính năng Kiểm tra ứng dụng

Điều kiện tiên quyết và yêu cầu

• Một ứng dụng đã cài đặt Places SDK phiên bản 9.2 trở lên.
• Mã nhận dạng gói của ứng dụng.
• Mã nhóm của bạn trong Trung tâm thành viên của Apple, trong phần Thành viên.
• Nếu bạn dự định sử dụng tính năng Kiểm tra thiết bị, hãy dùng tệp khoá riêng tư và mã nhận dạng khoá.
• Bạn phải là chủ sở hữu của ứng dụng trong Cloud Console.
• Bạn sẽ cần mã dự án của ứng dụng trong Cloud Console

Bước 1: Thêm Firebase vào ứng dụng của bạn

Làm theo hướng dẫn trong tài liệu dành cho nhà phát triển Firebase để thêm Firebase vào ứng dụng của bạn.

Khi đăng ký ứng dụng, bạn sẽ nhận được một tệp cấu hình, GoogleService-Info.plist. Thêm tệp này (không sửa đổi) vào cấp gốc của ứng dụng.

import FirebaseCore
import FirebaseAppCheck
import GooglePlacesSwift

import FirebaseCore
import FirebaseAppCheck
import GooglePlaces

@import FirebaseCore;      
@import FirebaseAppCheck;
@import GooglePlaces;

Bước 2: Thêm thư viện Kiểm tra ứng dụng và khởi chạy tính năng Kiểm tra ứng dụng

Firebase cung cấp hướng dẫn cho từng nhà cung cấp chứng thực mặc định. Các hướng dẫn này cho biết cách thiết lập dự án Firebase và thêm thư viện Kiểm tra ứng dụng vào ứng dụng của bạn. Hãy làm theo các mẫu mã được cung cấp để khởi chạy tính năng Kiểm tra ứng dụng.

1. Làm theo hướng dẫn của Firebase để thêm thư viện Kiểm tra ứng dụng:
   • Hướng dẫn về App Attest.
   • Hướng dẫn về Kiểm tra thiết bị.
2. Khởi chạy tính năng Kiểm tra ứng dụng.
   • Nếu bạn đang sử dụng App Attest, hãy làm theo tài liệu dành cho nhà phát triển Firebase về App Attest..

     Làm theo hướng dẫn về tính năng Kiểm tra ứng dụng Firebase để tạo một cách triển khai AppCheckProviderFactory và thêm cách triển khai đó vào tệp AppDelegate.

     Places Swift SDK cho iOS

     let providerFactory = YourAppCheckProviderFactory()
     AppCheck.setAppCheckProviderFactory(providerFactory)

     Swift

     let providerFactory = YourAppCheckProviderFactory()
     AppCheck.setAppCheckProviderFactory(providerFactory)

     Objective-C

     YourAppCheckProviderFactory *providerFactory =
         [[YourAppCheckProviderFactory alloc] init];
     [FIRAppCheck setAppCheckProviderFactory:providerFactory];
        

   • Nếu bạn đang sử dụng tính năng Kiểm tra thiết bị, hãy thêm nội dung sau vào AppDelegate:

     Places Swift SDK cho iOS

     AppCheck.setAppCheckProviderFactory(DeviceCheckProviderFactory())

     Swift

     AppCheck.setAppCheckProviderFactory(DeviceCheckProviderFactory())

     Objective-C

     [FIRAppCheck setAppCheckProviderFactory:providerFactory];
           

Bước 3: Thêm nhà cung cấp mã thông báo

Tạo một tệp có tên là AppCheckTokenProvider (hoặc nếu bạn đang sử dụng Objective-C, hãy tạo hai tệp có tên là AppCheckTokenProvider.h và AppCheckTokenProvider.m) ở cấp gốc của ứng dụng. Thêm các câu lệnh nhập và định nghĩa lớp sau:

// AppCheckTokenProvider.swift

import FirebaseAppCheck
import Foundation
import GooglePlacesSwift
      
struct TokenProvider: AppCheckTokenProvider {
  func fetchAppCheckToken() async throws -> String {
    return try await AppCheck.appCheck().token(forcingRefresh: false).token
  }
}
      

// AppCheckTokenProvider.swift

import FirebaseAppCheck
import Foundation
import GooglePlaces

class AppCheckTokenProvider: NSObject, GMSPlacesAppCheckTokenProvider {
  func fetchAppCheckToken() async throws -> String {
    return try await AppCheck.appCheck().token(forcingRefresh: false).token
  }
}

// AppCheckTokenProvider.h

@import Foundation;
@import GooglePlaces;

@interface AppCheckTokenProvider : NSObject <GMSPlacesAppCheckTokenProvider>
@end

// AppCheckTokenProvider.m

#import "AppCheckTokenProvider.h"

@import FirebaseAppCheck;

@implementation AppCheckTokenProvider

- (void)fetchAppCheckTokenWithCompletion:(nonnull GMSAppCheckTokenCompletion)completion {
  [[FIRAppCheck appCheck]
      tokenForcingRefresh:NO
               completion:^(FIRAppCheckToken *_Nullable token, NSError *_Nullable error) {
                 if (token) {
                   completion(token.token, nil);
                 } else {
                   completion(nil, error);
                 }
               }];
}

@end

Bước 4: Khởi chạy API Địa điểm và Kiểm tra ứng dụng

1. Trong tệp AppDelegate, hãy khởi chạy Places API:

   Places Swift SDK cho iOS

   PlacesClient.provideAPIKey("YOUR_API_KEY")

   Swift

   GMSPlacesClient.provideAPIKey("YOUR_API_KEY")

   Objective-C

   [GMSPlacesClient provideAPIKey:@"YOUR_API_KEY"];

2. Sau đó, hãy khởi chạy API Kiểm tra ứng dụng:

   Places Swift SDK cho iOS

   PlacesClient.setAppCheckTokenProvider(AppCheckTokenProvider())

   Swift

   GMSPlacesClient.setAppCheckTokenProvider(AppCheckTokenProvider())

   Objective-C

   [GMSPlacesClient setAppCheckTokenProvider:[[AppCheckTokenProvider alloc] init]];

Bước 5: Bật tính năng gỡ lỗi (không bắt buộc)

Nếu bạn muốn phát triển và kiểm thử ứng dụng của mình ở chế độ cục bộ hoặc chạy ứng dụng đó trong môi trường tích hợp liên tục (CI), bạn có thể tạo bản gỡ lỗi của ứng dụng sử dụng bí mật gỡ lỗi để lấy mã thông báo hợp lệ của tính năng Kiểm tra ứng dụng. Điều này giúp bạn tránh sử dụng các nhà cung cấp chứng thực thực trong bản gỡ lỗi.

Cách kiểm thử ứng dụng trong Trình mô phỏng hoặc trên thiết bị thử nghiệm:

• Tạo và đặt nhà máy cung cấp gỡ lỗi của tính năng Kiểm tra ứng dụng.

  Mã mẫu này xử lý cả trường hợp gỡ lỗi và trường hợp sản xuất:

  Places Swift SDK cho iOS

  #if targetEnvironment(simulator)
        let providerFactory = AppCheckDebugProviderFactory()
  #else
        let providerFactory = YourAppCheckProviderFactory()
  #endif

  Swift

  #if targetEnvironment(simulator)
        let providerFactory = AppCheckDebugProviderFactory()
  #else
        let providerFactory = YourAppCheckProviderFactory()
  #endif

  Objective-C

  if (targetEnvironment == simulator){
  
  FIRAppCheckDebugProviderFactory *providerFactory =
        [[FIRAppCheckDebugProviderFactory alloc] init];
  [FIRAppCheck setAppCheckProviderFactory:providerFactory];
  }
  
  else {
  
  YourAppCheckProviderFactory *providerFactory =
        [[YourAppCheckProviderFactory alloc] init];
  [FIRAppCheck setAppCheckProviderFactory:providerFactory];
  }
      

• Bật tính năng ghi nhật ký trên dự án Xcode, khởi chạy ứng dụng và tìm mã thông báo gỡ lỗi cục bộ trong nhật ký.
• Thêm mã thông báo này vào bảng điều khiển của Firebase.
• Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về tính năng Kiểm tra ứng dụng.

Cách chạy ứng dụng trong môi trường CI:

• Tạo mã thông báo gỡ lỗi trong bảng điều khiển của Firebase và thêm mã thông báo đó vào kho khoá bảo mật của hệ thống CI.
• Trong Xcode, hãy thêm biến môi trường vào sơ đồ kiểm thử của bạn với tên FIRAAppCheckDebugToken và $(APP_CHECK_DEBUG_TOKEN) (hoặc tên tương tự) làm giá trị.
• Trong kịch bản kiểm tra CI, hãy truyền mã thông báo gỡ lỗi làm môi trường

• Tạo và đặt nhà máy cung cấp gỡ lỗi của tính năng Kiểm tra ứng dụng.

  Mã mẫu này xử lý cả trường hợp gỡ lỗi và trường hợp sản xuất:

  Places Swift SDK cho iOS

  #if DEBUG
    let providerFactory = AppCheckDebugProviderFactory()
  #else
    let providerFactory = YourAppCheckProviderFactory()
  #endif
  AppCheck.setAppCheckProviderFactory(providerFactory)
    

  Swift

  #if DEBUG
    let providerFactory = AppCheckDebugProviderFactory()
  #else
    let providerFactory = YourAppCheckProviderFactory()
  #endif
  AppCheck.setAppCheckProviderFactory(providerFactory)
    

  Objective-C

  #if DEBUG
  id<FIRAppCheckProviderFactory> providerFactory =
      [[FIRAppCheckDebugProviderFactory alloc] init];
  #else  // DEBUG
  id<FIRAppCheckProviderFactory> providerFactory =
      [[YourAppCheckProviderFactory alloc] init];
  #endif  // DEBUG
  AppCheck.setAppCheckProviderFactory(providerFactory)

• Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về tính năng Kiểm tra ứng dụng.

Bước 6: Theo dõi các yêu cầu của ứng dụng và quyết định về việc thực thi

Trước khi bắt đầu thực thi, bạn cần đảm bảo rằng mình sẽ không làm gián đoạn người dùng hợp lệ của ứng dụng. Để làm việc này, hãy truy cập vào màn hình chỉ số Kiểm tra ứng dụng để xem tỷ lệ phần trăm lưu lượng truy cập của ứng dụng được xác minh, đã lỗi thời hoặc không hợp lệ. Sau khi thấy rằng phần lớn lưu lượng truy cập của bạn đã được xác minh, bạn có thể bật chế độ thực thi.

Hãy xem tài liệu về tính năng Kiểm tra ứng dụng của Firebase để biết thêm thông tin và hướng dẫn.