הפעלת האכיפה של בדיקת האפליקציה

אחרי שתבינו איך App Check ישפיע על המשתמשים שלכם ותהיו מוכנים להמשיך, תוכלו להפעיל את האכיפה של App Check.

בשלבים הבאים מוסבר איך להפעיל אכיפה עבור Firebase AI Logic,‏ SQL Connect,‏ Realtime Database,‏ Cloud Firestore,‏ Cloud Storage,‏ Authentication,‏ Google Identity for iOS,‏ Maps JavaScript API ו-Places API (חדש). אחרי שמפעילים את האכיפה של מוצר מסוים, כל הבקשות שלא אומתו לגבי המוצר הזה יידחו.

  1. במסוף Firebase, עוברים אל Security (אבטחה) > App Check (בדיקת אפליקציות).

  2. מרחיבים את תצוגת המדדים של המוצר שרוצים להפעיל בו אכיפה.

  3. לוחצים על החלת ההגדרה ומאשרים את הבחירה.

שימו לב: יכולות לעבור עד 15 דקות אחרי הפעלת האכיפה עד שהיא תיכנס לתוקף.

הגנה מפני הפעלה חוזרת (בטא)

כברירת מחדל, App Check משתמש באסימוני סשן עם אורך חיים (TTL) שניתן להגדרה בין 30 דקות לבין 7 ימים. אסימוני הסשן האלה נשמרים במטמון על ידי App Check SDK, נשלחים עם בקשות מהאפליקציה שלכם, ואפשר לעשות בהם שימוש חוזר עד שתוקף ה-TTL שלהם יפוג. שימוש באסימוני סשן נחשב להגנה בסיסית.

כדי לשפר את ההגנה מעבר להגנה הבסיסית שמוצעת על ידי App Check, אפשר גם לאכוף הגנה מפני הפעלה חוזרת. מה קורה כשמפעילים את ההגנה מפני שידור חוזר:

  • App Check יחסום בקשות ל-API המוגן שמשתמשות בטוקנים של סשן. במקום זאת, App Check תאשר רק בקשה ל-API המוגן שמשתמש בטוקן חדש לשימוש מוגבל. בתיעוד הספציפי למוצר מוסבר איך להפעיל שימוש באסימונים לשימוש מוגבל באפליקציה.

  • אחרי שהטוקן לשימוש מוגבל מאומת, המערכת משתמשת בו כך שאפשר להשתמש בו רק פעם אחת, כדי למנוע מתקפות מסוג Replay.

  • App Check SDK ייצור טוקן חדש לכל בקשה. התהליך הזה יכול להשפיע על הבקשות שלכם, כי הוא מוסיף זמן אחזור ולפעמים גם עלות (תלוי בספק האישורים).

כך אוכפים הגנה מפני הפעלה חוזרת:

  1. בבסיס הקוד של האפליקציה, מפעילים את השימוש בטוקנים לשימוש מוגבל. הוראות ספציפיות למוצרים זמינות במסמכי העזרה הבאים:

  2. במסוף Firebase, עוברים אל Security (אבטחה) > App Check (בדיקת אפליקציות).

  3. מרחיבים את תצוגת המדדים של ה-API המוגן.

  4. מוודאים שהאפשרות Baseline protection (הגנה בסיסית) מוגדרת כEnforced (אכיפה), ואז לוחצים על Continue (המשך).

  5. כדי להפעיל הגנה מפני שידור חוזר, בוחרים באפשרות לא נאכף (מעקב בלבד) או באפשרות נאכף.

    כדי להחליט מתי לאכוף את ההגנה מפני הפעלה חוזרת, כדאי להביא בחשבון את הנקודות הבאות: