เลือกแพลตฟอร์ม: Android iOS JavaScript

ใช้ App Check เพื่อรักษาคีย์ API ให้ปลอดภัย

App Check ของ Firebase ช่วยปกป้องการเรียกจากแอปของคุณไปยัง Google Maps Platform โดยการบล็อกการเข้าชมที่มาจากแหล่งที่มาอื่นๆ ที่ไม่ใช่แอปที่ถูกต้องตามกฎหมาย โดยจะตรวจสอบโทเค็นจากผู้ให้บริการการรับรอง เช่น Play Integrity การผสานรวมแอปกับ App Check จะช่วยป้องกันคำขอที่เป็นอันตราย คุณจึงไม่ต้องเสียค่าใช้จ่ายสำหรับการเรียก API ที่ไม่ได้รับอนุญาต

App Check เหมาะกับฉันไหม

เราขอแนะนำให้ใช้ App Check ในกรณีส่วนใหญ่ แต่ไม่จำเป็นต้องใช้หรือระบบไม่รองรับ App Check ในกรณีต่อไปนี้

  • คุณกำลังใช้ Places SDK เวอร์ชันเดิม App Check รองรับเฉพาะ Places SDK (ใหม่)
  • แอปส่วนตัวหรือแอปทดลอง หากแอปของคุณไม่สามารถเข้าถึงได้แบบสาธารณะ คุณก็ไม่จำเป็นต้องใช้ App Check
  • หากใช้แอปแบบเซิร์ฟเวอร์ต่อเซิร์ฟเวอร์เท่านั้น คุณไม่จำเป็นต้องใช้ App Check อย่างไรก็ตาม หากไคลเอ็นต์สาธารณะ (เช่น แอปบนอุปกรณ์เคลื่อนที่) ใช้เซิร์ฟเวอร์ที่สื่อสารกับ GMP ให้พิจารณาใช้ App Check เพื่อปกป้องเซิร์ฟเวอร์นั้นแทน GMP
  • ผู้ให้บริการการรับรองที่ App Check แนะนำจะใช้งานไม่ได้ในอุปกรณ์ที่ผู้ให้บริการการรับรองพิจารณาว่าถูกบุกรุกหรือไม่น่าเชื่อถือ หากต้องการรองรับอุปกรณ์ดังกล่าว คุณสามารถติดตั้งใช้งานบริการการรับรองที่กำหนดเองได้ ดูข้อมูลเพิ่มเติมได้ที่วิธีการ

ภาพรวมของขั้นตอนการติดตั้งใช้งาน

โดยขั้นตอนที่คุณจะต้องทำเพื่อผสานรวมแอปกับ App Check ในระดับสูงมีดังนี้

  1. เพิ่ม Firebase ไปยังแอป
  2. เพิ่มและเริ่มต้นใช้งานไลบรารี App Check
  3. เพิ่มผู้ให้บริการโทเค็น
  4. เปิดใช้การแก้ไขข้อบกพร่อง
  5. ตรวจสอบคำขอของแอปและตัดสินใจเกี่ยวกับการบังคับใช้

เมื่อผสานรวมกับ App Check แล้ว คุณจะดูเมตริกการเข้าชมแบ็กเอนด์ในคอนโซล Firebase ได้ เมตริกเหล่านี้แสดงรายละเอียดของคำขอตามว่ามีโทเค็น App Check ที่ถูกต้องหรือไม่ ดูข้อมูลเพิ่มเติมได้ที่เอกสารประกอบของ Firebase App Check

เมื่อมั่นใจว่าคำขอส่วนใหญ่มาจากแหล่งที่มาที่ถูกต้องและผู้ใช้อัปเดตแอปเป็นเวอร์ชันล่าสุดที่มีการติดตั้งใช้งาน App Check แล้ว คุณก็เปิดการบังคับใช้ได้ เมื่อเปิดการบังคับใช้แล้ว App Check จะปฏิเสธการเข้าชมทั้งหมดที่ไม่มีโทเค็น App Check ที่ถูกต้อง

ข้อควรพิจารณาเมื่อวางแผนการผสานรวม App Check

ต่อไปนี้คือสิ่งที่คุณควรพิจารณาเมื่อวางแผนการผสานรวม

  • ผู้ให้บริการการรับรองที่เราแนะนำคือ Play Integrity ซึ่งมีขีดจำกัดการเรียกใช้รายวันสำหรับระดับการใช้งาน API มาตรฐาน ดูข้อมูลเพิ่มเติมเกี่ยวกับขีดจํากัดการเรียกได้ที่หน้าการตั้งค่าในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ของ Google Play Integrity

    นอกจากนี้ คุณยังเลือกใช้ผู้ให้บริการการรับรองที่กำหนดเองได้ด้วย แต่กรณีการใช้งานนี้เป็นกรณีการใช้งานขั้นสูง ดูข้อมูลเพิ่มเติมได้ที่ติดตั้งใช้งานผู้ให้บริการ App Check ที่กำหนดเอง

  • ผู้ใช้แอปของคุณจะพบเวลาในการตอบสนองบางอย่างเมื่อเริ่มต้น อย่างไรก็ตาม หลังจากนั้น การรับรองอีกครั้งเป็นระยะจะเกิดขึ้นในเบื้องหลัง และผู้ใช้จะไม่พบเวลาในการตอบสนองอีกต่อไป ปริมาณเวลาในการตอบสนองที่แน่นอนเมื่อเริ่มต้นระบบจะขึ้นอยู่กับผู้ให้บริการการรับรองที่คุณเลือก

    ระยะเวลาที่โทเค็น App Check ใช้งานได้ (Time to Live หรือ TTL) จะกำหนดความถี่ของการรับรองอีกครั้ง คุณกำหนดค่าระยะเวลานี้ได้ในคอนโซล Firebase การรับรองอีกครั้งจะเกิดขึ้นเมื่อ TTL ผ่านไปประมาณครึ่งหนึ่ง ดูข้อมูลเพิ่มเติมได้ที่เอกสารประกอบของ Firebase สำหรับผู้ให้บริการการรับรอง

ผสานรวมแอปกับ App Check

ข้อกำหนดเบื้องต้นและข้อกำหนด

  • แอปที่ผสานรวม Places SDK เวอร์ชัน 4.1 ขึ้นไป
  • ลายนิ้วมือ SHA-256 สำหรับแอป
  • ชื่อแพ็กเกจของแอป
  • คุณต้องเป็นเจ้าของแอปใน Cloud Console
  • คุณจะต้องมีรหัสโปรเจ็กต์ของแอปจาก Cloud Console

ขั้นตอนที่ 1: เพิ่ม Firebase ไปยังแอป

ทําตามวิธีการในเอกสารประกอบสําหรับนักพัฒนาแอป Firebase เพื่อเพิ่ม Firebase ลงในแอป

ขั้นตอนที่ 2: เพิ่มไลบรารี App Check และเริ่มต้น App Check

ดูข้อมูลเกี่ยวกับการใช้ Play Integrity ซึ่งเป็นผู้ให้บริการการรับรองเริ่มต้นได้ที่เริ่มต้นใช้งาน App Check กับ Play Integrity บน Android

  1. หากยังไม่ได้ทำ ให้ผสานรวม Places SDK เข้ากับแอป

  2. จากนั้นเริ่มต้น App Check และไคลเอ็นต์ Places

    // Initialize App Check
FirebaseApp.initializeApp(/* context= */ this);
FirebaseAppCheck firebaseAppCheck = FirebaseAppCheck.getInstance();
firebaseAppCheck.installAppCheckProviderFactory(
        PlayIntegrityAppCheckProviderFactory.getInstance());
  
// Initialize Places SDK
Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
PlacesClient client = Places.createClient(context);.

ขั้นตอนที่ 3: เพิ่มผู้ให้บริการโทเค็น

หลังจากเริ่มต้น Places API แล้ว ให้เรียกใช้ setPlacesAppCheckTokenProvider() เพื่อตั้งค่า PlacesAppCheckTokenProvider 

Places.initializeWithNewPlacesApiEnabled(context, API_KEY);
Places.setPlacesAppCheckTokenProvider(new TokenProvider());
PlacesClient client = Places.createClient(context);.

ตัวอย่างการใช้งานอินเทอร์เฟซตัวดึงข้อมูลโทเค็นมีดังนี้ 

  /** Sample client implementation of App Check token fetcher interface. */
  static class TokenProvider implements PlacesAppCheckTokenProvider {
    @Override
    public ListenableFuture<String> fetchAppCheckToken() {
      SettableFuture<String> future = SettableFuture.create();
      FirebaseAppCheck.getInstance()
          .getAppCheckToken(false)
          .addOnSuccessListener(
              appCheckToken -> {
                future.set(appCheckToken.getToken());
              })
          .addOnFailureListener(
              ex -> {
                future.setException(ex);
              });

      return future;
    }
  }

ขั้นตอนที่ 4: เปิดใช้การแก้ไขข้อบกพร่อง (ไม่บังคับ)

หากต้องการพัฒนาและทดสอบแอปในเครื่อง หรือเรียกใช้แอปในสภาพแวดล้อมการรวมอย่างต่อเนื่อง (CI) คุณสามารถสร้างบิลด์การแก้ไขข้อบกพร่องของแอปที่ใช้ข้อมูลลับในการแก้ไขข้อบกพร่องเพื่อรับโทเค็น App Check ที่ถูกต้องได้ ซึ่งจะช่วยให้คุณหลีกเลี่ยงการใช้ผู้ให้บริการการรับรองจริงในบิลด์การแก้ไขข้อบกพร่องได้

วิธีเรียกใช้แอปในโปรแกรมจำลองหรือในอุปกรณ์ทดสอบ

  • เพิ่มไลบรารี App Check ลงในไฟล์ build.gradle
  • กำหนดค่า App Check ให้ใช้โรงงานผู้ให้บริการแก้ไขข้อบกพร่องในการสร้างการแก้ไขข้อบกพร่อง
  • เปิดแอป ซึ่งจะสร้างโทเค็นการแก้ไขข้อบกพร่องในเครื่อง เพิ่มโทเค็นนี้ลงในคอนโซล Firebase
  • ดูข้อมูลเพิ่มเติมและวิธีการได้ที่เอกสารประกอบเกี่ยวกับ App Check

วิธีเรียกใช้แอปในสภาพแวดล้อม CI

  • สร้างโทเค็นการแก้ไขข้อบกพร่องในคอนโซล Firebase แล้วเพิ่มลงในที่เก็บคีย์ที่ปลอดภัยของระบบ CI
  • เพิ่มไลบรารี App Check ลงในไฟล์ build.gradle
  • กำหนดค่าตัวแปรบิลด์ CI ให้ใช้โทเค็นการแก้ไขข้อบกพร่อง
  • ห่อหุ้มโค้ดในคลาสทดสอบที่ต้องใช้โทเค็น App Check ด้วย DebugAppCheckTestHelper
  • ดูข้อมูลเพิ่มเติมและวิธีการได้ที่เอกสารประกอบเกี่ยวกับ App Check

ขั้นตอนที่ 5: ตรวจสอบคำขอของแอปและตัดสินใจเกี่ยวกับการบังคับใช้

ก่อนเริ่มการบังคับใช้ คุณควรตรวจสอบว่าผู้ใช้ที่ถูกต้องตามกฎหมายของแอปจะไม่ได้รับผลกระทบ โดยไปที่หน้าจอเมตริก App Check เพื่อดูว่าการเข้าชมของแอปคิดเป็นกี่เปอร์เซ็นต์ที่ได้รับการยืนยัน ล้าสมัย หรือผิดกฎหมาย เมื่อเห็นว่าการเข้าชมส่วนใหญ่ได้รับการยืนยันแล้ว คุณจะเปิดใช้การบังคับใช้ได้

ดูข้อมูลและวิธีการเพิ่มเติมได้ที่เอกสารประกอบของ Firebase App Check