Sử dụng App Check để bảo mật khoá API

Tính năng Kiểm tra ứng dụng của Firebase giúp bảo vệ các lệnh gọi từ ứng dụng của bạn đến Google Maps Platform bằng cách chặn lưu lượng truy cập đến từ các nguồn không phải là ứng dụng hợp lệ. Việc này được thực hiện bằng cách kiểm tra mã thông báo của một nhà cung cấp chứng thực như reCAPTCHA Enterprise. Việc tích hợp ứng dụng của bạn với tính năng Kiểm tra ứng dụng giúp bảo vệ khỏi các yêu cầu độc hại, nhờ đó bạn không bị tính phí cho các lệnh gọi API trái phép.

Tính năng Kiểm tra ứng dụng có phù hợp với tôi không?

Bạn nên dùng App Check trong hầu hết các trường hợp. Tuy nhiên, bạn không cần hoặc không được hỗ trợ dùng App Check trong các trường hợp sau:

  • Bạn đang sử dụng Places SDK ban đầu. App Check chỉ được hỗ trợ cho Places SDK (Mới).
  • Ứng dụng riêng tư hoặc ứng dụng thử nghiệm. Nếu ứng dụng của bạn không truy cập được công khai, thì bạn không cần App Check.
  • Nếu ứng dụng của bạn chỉ được dùng cho máy chủ với máy chủ, thì bạn không cần App Check. Tuy nhiên, nếu máy chủ giao tiếp với GMP được dùng bởi các ứng dụng công khai (chẳng hạn như ứng dụng di động), hãy cân nhắc sử dụng App Check để bảo vệ máy chủ đó thay vì GMP.

Tổng quan về các bước triển khai

Nhìn chung, đây là các bước bạn sẽ thực hiện để tích hợp ứng dụng của mình với App Check:

  1. Thêm Firebase vào ứng dụng của bạn.
  2. Thêm và khởi chạy thư viện Kiểm tra ứng dụng.
  3. Thêm nhà cung cấp mã thông báo vào ứng dụng của bạn.
  4. Khởi chạy API Địa điểm và API Kiểm tra ứng dụng.
  5. Bật tính năng gỡ lỗi.
  6. Giám sát các yêu cầu của ứng dụng và quyết định thực thi.

Sau khi tích hợp với tính năng Kiểm tra ứng dụng, bạn sẽ có thể xem các chỉ số lưu lượng truy cập phụ trợ trên bảng điều khiển của Firebase. Các chỉ số này cung cấp thông tin chi tiết về các yêu cầu theo việc yêu cầu đó có đi kèm với mã thông báo App Check hợp lệ hay không. Hãy xem tài liệu về tính năng Kiểm tra ứng dụng của Firebase để biết thêm thông tin.

Khi chắc chắn rằng hầu hết các yêu cầu đều đến từ các nguồn hợp lệ và người dùng đã cập nhật lên phiên bản mới nhất của ứng dụng (có bao gồm việc triển khai App Check), bạn có thể bật chế độ thực thi. Sau khi bạn bật chế độ thực thi, App Check sẽ từ chối tất cả lưu lượng truy cập không có mã thông báo App Check hợp lệ.

Những điều cần cân nhắc khi lên kế hoạch tích hợp App Check

Sau đây là một số điều cần cân nhắc khi bạn lên kế hoạch tích hợp:

  • Một trong những nhà cung cấp chứng thực mà chúng tôi đề xuất là reCAPTCHA Enterprise. Nhà cung cấp này tính phí cho hơn 10.000 lượt đánh giá mỗi tháng.

    Nhà cung cấp chứng thực khác mà chúng tôi đề xuất là reCAPTCHA phiên bản 3. Nhà cung cấp này có hạn mức, sau đó lưu lượng truy cập sẽ không được đánh giá.

    Bạn có thể chọn sử dụng một nhà cung cấp chứng thực tuỳ chỉnh, mặc dù đây là một trường hợp sử dụng nâng cao. Hãy xem tài liệu về App Check để biết thêm thông tin.

  • Người dùng ứng dụng của bạn sẽ gặp phải một số độ trễ khi khởi động. Tuy nhiên, sau đó, mọi hoạt động chứng thực lại định kỳ sẽ diễn ra trong nền và người dùng sẽ không còn gặp phải bất kỳ độ trễ nào nữa. Độ trễ chính xác khi khởi động phụ thuộc vào nhà cung cấp chứng thực mà bạn chọn.

    Khoảng thời gian mà mã thông báo App Check có hiệu lực (thời gian tồn tại hoặc TTL) xác định tần suất chứng thực lại. Bạn có thể định cấu hình khoảng thời gian này trong bảng điều khiển của Firebase. Quy trình chứng thực lại xảy ra khi khoảng một nửa thời gian TTL đã trôi qua. Để biết thêm thông tin, hãy xem tài liệu của Firebase cho trình chứng thực của bạn.

Tích hợp ứng dụng của bạn với App Check

Điều kiện tiên quyết và yêu cầu

Bước 1: Thêm Firebase vào ứng dụng của bạn

Làm theo hướng dẫn trong tài liệu dành cho nhà phát triển của Firebase để thêm Firebase vào ứng dụng của bạn.

Bước 2: Thêm thư viện Kiểm tra ứng dụng và khởi chạy Kiểm tra ứng dụng

Firebase cung cấp hướng dẫn cho từng trình chứng thực mặc định. Các hướng dẫn này cho bạn biết cách thiết lập một dự án Firebase và thêm thư viện App Check vào ứng dụng của bạn. Hãy làm theo các mẫu mã được cung cấp để khởi chạy App Check.

Bước 3: Tải các thư viện Maps JS API

  1. Tải các thư viện cốt lõi, Maps và Places như minh hoạ trong đoạn mã sau. Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về Lớp Địa điểm trong Maps JavaScript API.

    async function init() {
      const {Settings} = await google.maps.importLibrary('core');
      const {Map} = await google.maps.importLibrary('maps');
      const {Place} = await google.maps.importLibrary('places');
    }  

Bước 4: Khởi chạy API Địa điểm và API Kiểm tra ứng dụng

  1. Khởi chạy tính năng Kiểm tra ứng dụng bằng cấu hình do bảng điều khiển của Firebase cung cấp.
  2. Đảm bảo rằng các yêu cầu đến Maps JS API đi kèm với mã thông báo của tính năng Kiểm tra ứng dụng:
      async function init() {
        const {Settings} = await google.maps.importLibrary('core');
        const {Map} = await google.maps.importLibrary('maps');
        const {Place} = await google.maps.importLibrary('places');
      
        const app = initializeApp({
          // Your firebase configuration object
        });
      
        // Pass your reCAPTCHA Enterprise site key to initializeAppCheck().
        const appCheck = initializeAppCheck(app, {
          provider: new ReCaptchaEnterpriseProvider(
            'abcdefghijklmnopqrstuvwxy-1234567890abcd',
          ),
      
          // Optional argument. If true, the SDK automatically refreshes App Check
          // tokens as needed.
          isTokenAutoRefreshEnabled: true,
        });
      
        Settings.getInstance().fetchAppCheckToken = () =>
            getToken(appCheck, /* forceRefresh = */ false);
      
        // Make a Places JS request
        const place = new Place({id: 'ChIJN5Nz71W3j4ARhx5bwpTQEGg'});
        await place.fetchFields({fields: ['*']});
      
        // Load a map
        map = new Map(document.getElementById("map"), {
          center: { lat: 37.4161493, lng: -122.0812166 },
          zoom: 8,
        });
      }  
      

Bước 5: Bật chế độ gỡ lỗi (không bắt buộc)

Nếu muốn phát triển và kiểm thử ứng dụng cục bộ hoặc chạy ứng dụng trong môi trường tích hợp liên tục (CI), bạn có thể tạo một bản gỡ lỗi của ứng dụng sử dụng một khoá bí mật gỡ lỗi để lấy mã thông báo App Check hợp lệ. Điều này giúp bạn tránh sử dụng trình cung cấp chứng thực thực trong bản gỡ lỗi.

Cách kiểm thử ứng dụng cục bộ:

  • Kích hoạt trình cung cấp gỡ lỗi cho mục đích phát triển.
  • Bạn sẽ nhận được một UUID4 ngẫu nhiên được tạo tự động (gọi là _mã gỡ lỗi_ trong tài liệu App Check) từ nhật ký gỡ lỗi của SDK. Thêm mã thông báo này vào bảng điều khiển của Firebase.
  • Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về App Check.

Cách chạy ứng dụng trong môi trường CI:

  • Tạo một UUID4 ngẫu nhiên trong bảng điều khiển của Firebase.
  • Thêm UUID4 làm mã gỡ lỗi, sau đó sao chép mã này vào một kho bí mật mà các kiểm thử CI sẽ truy cập vào mỗi lần chạy kiểm thử.
  • Để biết thêm thông tin và hướng dẫn, hãy xem tài liệu về App Check.

Bước 6: Giám sát các yêu cầu của ứng dụng và quyết định về việc thực thi

Trước khi bắt đầu thực thi, bạn cần đảm bảo rằng bạn sẽ không làm gián đoạn người dùng hợp pháp của ứng dụng. Để làm việc này, hãy truy cập vào màn hình chỉ số App Check để xem tỷ lệ phần trăm lưu lượng truy cập của ứng dụng được xác minh, đã lỗi thời hoặc không hợp pháp. Sau khi thấy rằng phần lớn lưu lượng truy cập của bạn đã được xác minh, bạn có thể bật chế độ thực thi.

Hãy xem tài liệu về dịch vụ Kiểm tra ứng dụng của Firebase để biết thêm thông tin và hướng dẫn.