La Verificación de aplicaciones ayuda a proteger tus apps contra los abusos, ya que evita que los clientes no autorizados se autentiquen mediante el Acceso con Google. Solo las apps que autorizaste pueden adquirir tokens de acceso y de ID desde el extremo de OpenID Connect y OAuth 2.0 de Google.
Con la Verificación de aplicaciones, los dispositivos que ejecutan tu app usan el servicio App Attest de Apple para verificar que las solicitudes de OAuth 2.0 y OpenID Connect se originen en tu app auténtica. Esta certificación se envía con cada solicitud que tu app realiza a los extremos de autenticación de Google. Cuando habilites la aplicación forzosa de la Verificación de aplicaciones, se rechazarán las solicitudes de clientes que no tengan una certificación válida, al igual que las solicitudes que se originen en una app que no autorizaste.
¿Todo listo para comenzar?
¿Cómo funciona?
Cuando habilitas la Verificación de aplicaciones para el Acceso con Google, sucede lo siguiente cada vez que accedes a un extremo de Google OAuth 2.0:
- Tu app interactúa con los servicios de Apple para obtener una certificación de su autenticidad.
- La certificación se envía al servidor de la Verificación de aplicaciones, que verifica la validez de la certificación mediante parámetros registrados en la app y muestra un token de la Verificación de aplicaciones en tu app. Es posible que este token retenga información sobre el material de certificación que verificó.
- La biblioteca cliente de la Verificación de aplicaciones envía el token junto con la solicitud a los extremos de autenticación de Google.
Cuando la aplicación forzosa de la Verificación de aplicaciones está habilitada, Google solo acepta solicitudes acompañadas de un token actual y válido de la Verificación de aplicaciones.
¿Qué tan sólida es la seguridad que proporciona la Verificación de aplicaciones?
La Verificación de aplicaciones se basa en la solidez del servicio App Attest de Apple para determinar la autenticidad de la app. Se evitan algunos vectores de abuso dirigidos a tu proyecto, pero no todos ellos. El uso de la Verificación de aplicaciones no garantiza la eliminación de todos los abusos. Sin embargo, si la integración en esta función, estás tomando un paso importante hacia la protección contra el abuso de tu app.
Primeros pasos
Lee la guía de introducción para obtener información sobre cómo instalar y configurar la Verificación de aplicaciones.