Selecione a plataforma: Android iOS JavaScript

Usar o App Check para proteger sua chave de API

O Firebase App Check protege as chamadas do seu app para a Plataforma Google Maps bloqueando o tráfego que vem de fontes diferentes de apps legítimos. Isso é feito verificando um token de um provedor de atestado, como a Play Integrity. A integração dos seus apps com o App Check ajuda a proteger contra solicitações maliciosas, para que você não receba cobranças por chamadas de API não autorizadas.

O App Check é adequado para mim?

O App Check é recomendado na maioria dos casos, mas não é necessário ou não tem suporte nas seguintes situações:

  • Você está usando o SDK Places original. O App Check só é compatível com o SDK do Places (novo).
  • Apps particulares ou experimentais. Se o app não estiver acessível publicamente, o App Check não será necessário.
  • Se o app for usado apenas entre servidores, o App Check não será necessário. No entanto, se o servidor que se comunica com a GMP for usado por clientes públicos (como apps para dispositivos móveis), considere usar o App Check para proteger esse servidor em vez da GMP.
  • Os provedores de atestado recomendados pelo App Check não funcionam em dispositivos considerados comprometidos ou não confiáveis pelo seu provedor de atestado. Se você precisar oferecer suporte a esses dispositivos, implante um serviço de atestado personalizado. Para mais informações, consulte as instruções.

Visão geral das etapas de implementação

Em um nível alto, estas são as etapas que você vai seguir para integrar seu app ao App Check:

  1. Adicione o Firebase ao aplicativo.
  2. Adicione e inicialize a biblioteca do App Check.
  3. Adicione o provedor de token.
  4. Ative a depuração.
  5. Monitore as solicitações do app e decida sobre a aplicação.

Depois de integrar com o App Check, você poderá conferir as métricas de tráfego do back-end no console do Firebase. Essas métricas fornecem um detalhamento das solicitações de acordo com a presença de um token válido do App Check. Consulte a documentação do Firebase App Check para mais informações.

Quando você tiver certeza de que a maioria das solicitações é de fontes legítimas e que os usuários atualizaram para a versão mais recente do app, que inclui sua implementação do App Check, ative a aplicação obrigatória. Quando a aplicação é ativada, o App Check rejeita todo o tráfego sem um token válido.

Considerações ao planejar uma integração do App Check

Confira algumas coisas a considerar ao planejar sua integração:

  • O provedor de atestado recomendado, a API Play Integrity, tem um limite diário de chamadas para o nível de uso da API padrão. Para mais informações sobre limites de chamadas, consulte a página Configuração na documentação para desenvolvedores da Google Play Integrity.

    Você também pode usar um provedor de atestado personalizado, mas esse é um caso de uso avançado. Para mais informações, consulte Implementar um provedor personalizado do App Check.

  • Os usuários do seu app vão ter alguma latência na inicialização. No entanto, depois disso, qualquer reatestado periódico vai ocorrer em segundo plano, e os usuários não vão mais sentir latência. A quantidade exata de latência na inicialização depende do provedor de comprovação escolhido.

    O período em que o token do App Check é válido (o tempo de vida, ou TTL) determina a frequência das reconfirmações. Essa duração pode ser configurada no console do Firebase. A reatestação ocorre quando aproximadamente metade do TTL decorreu. Para mais informações, consulte a documentação do Firebase do seu provedor de atestado.

Integrar seu app ao App Check

Pré-requisitos e requisitos

  • Um app com o SDK do Places versão 4.1 ou mais recente integrado.
  • A impressão digital SHA-256 do seu app.
  • O nome do pacote do seu app.
  • Você precisa ser o proprietário do app no Cloud Console.
  • Você vai precisar do ID do projeto do app no console do Cloud.

Etapa 1: adicionar o Firebase ao app

Siga as instruções na documentação para desenvolvedores do Firebase e adicione o Firebase ao seu app.

Etapa 2: adicionar a biblioteca do App Check e inicializar o App Check

Para informações sobre como usar a Play Integrity, o provedor de atestado padrão, consulte Comece a usar o App Check com a Play Integrity no Android.

  1. Se ainda não fez isso, integre o SDK do Places ao seu app.

  2. Em seguida, inicialize o App Check e o cliente do Places.

    // Initialize App Check FirebaseApp.initializeApp(/* context= */ this); FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance(); firebaseAppCheck.installAppCheckProviderFactory(         PlayIntegrityAppCheckProviderFactory.getInstance());    // Initialize Places SDK Places.initializeWithNewPlacesApiEnabled(context, API_KEY); PlacesClient client = Places.createClient(context);.

Etapa 3: adicionar o provedor de token

Depois de inicializar a API Places, chame setPlacesAppCheckTokenProvider() para definir o PlacesAppCheckTokenProvider. 

Places.initializeWithNewPlacesApiEnabled(context, API_KEY); Places.setPlacesAppCheckTokenProvider(new TokenProvider()); PlacesClient client = Places.createClient(context);.

Confira um exemplo de implementação da interface do buscador de tokens: 

  /** Sample client implementation of App Check token fetcher interface. */   static class TokenProvider implements PlacesAppCheckTokenProvider {     @Override     public ListenableFuture<String> fetchAppCheckToken() {       SettableFuture<String> future = SettableFuture.create();       FirebaseAppCheck.getInstance()           .getAppCheckToken(false)           .addOnSuccessListener(               appCheckToken -> {                 future.set(appCheckToken.getToken());               })           .addOnFailureListener(               ex -> {                 future.setException(ex);               });        return future;     }   }

Etapa 4: ativar a depuração (opcional)

Se você quiser desenvolver e testar seu app localmente ou executá-lo em um ambiente de integração contínua (CI), crie um build de depuração do app que use um segredo de depuração para receber tokens válidos do App Check. Isso permite evitar o uso de provedores de declaração reais no build de depuração.

Para executar o app em um emulador ou dispositivo de teste:

  • Adicione a biblioteca do App Check ao arquivo build.gradle.
  • Configure o App Check para usar a fábrica do provedor de depuração no build de depuração.
  • Inicie o app, o que vai criar um token de depuração local. Adicione esse token ao console do Firebase.
  • Para mais informações e instruções, consulte a documentação do App Check.

Para executar o app em um ambiente de CI:

  • Crie um token de depuração no console do Firebase e adicione-o ao keystore seguro do seu sistema de CI.
  • Adicione a biblioteca do App Check ao arquivo build.gradle.
  • Configure sua variante de build de CI para usar o token de depuração.
  • Agrupe o código nas classes de teste que precisam de um token do App Check com DebugAppCheckTestHelper.
  • Para mais informações e instruções, consulte a documentação do App Check.

Etapa 5: monitorar as solicitações de apps e decidir sobre a aplicação

Antes de começar a aplicação, verifique se você não vai interromper usuários legítimos do app. Para isso, acesse a tela de métricas do App Check e confira qual porcentagem do tráfego do app é verificada, desatualizada ou ilegítima. Depois de verificar que a maior parte do seu tráfego está verificada, você pode ativar a aplicação.

Consulte a documentação do Firebase App Check para mais informações e instruções.