אחרי שתבינו איך App Check ישפיע על המשתמשים שלכם ותהיו מוכנים להמשיך, תוכלו להפעיל את האכיפה של App Check.
בשלבים הבאים מוסבר איך להפעיל אכיפה עבור Firebase AI Logic, SQL Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity for iOS, Maps JavaScript API ו-Places API (חדש). אחרי שמפעילים את האכיפה של מוצר מסוים, כל הבקשות שלא אומתו לגבי המוצר הזה יידחו.
במסוף Firebase, עוברים אל Security (אבטחה) > App Check (בדיקת אפליקציות).
מרחיבים את תצוגת המדדים של המוצר שרוצים להפעיל בו אכיפה.
לוחצים על החלת ההגדרה ומאשרים את הבחירה.
שימו לב: יכולות לעבור עד 15 דקות אחרי הפעלת האכיפה עד שהיא תיכנס לתוקף.
הגנה מפני הפעלה חוזרת (בטא)
כברירת מחדל, App Check משתמש באסימוני סשן עם אורך חיים (TTL) שניתן להגדרה בין
כדי לשפר את ההגנה מעבר להגנה הבסיסית שמוצעת על ידי App Check, אפשר גם לאכוף הגנה מפני הפעלה חוזרת. מה קורה כשמפעילים את ההגנה מפני שידור חוזר:
App Check יחסום בקשות ל-API המוגן שמשתמשות בטוקנים של סשן. במקום זאת, App Check תאשר רק בקשה ל-API המוגן שמשתמש בטוקן חדש לשימוש מוגבל. בתיעוד הספציפי למוצר מוסבר איך להפעיל שימוש באסימונים לשימוש מוגבל באפליקציה.
אחרי שהטוקן לשימוש מוגבל מאומת, המערכת משתמשת בו כך שאפשר להשתמש בו רק פעם אחת, כדי למנוע מתקפות מסוג Replay.
App Check SDK ייצור טוקן חדש לכל בקשה. התהליך הזה יכול להשפיע על הבקשות שלכם, כי הוא מוסיף זמן אחזור ולפעמים גם עלות (תלוי בספק האישורים).
כך אוכפים הגנה מפני הפעלה חוזרת:
בבסיס הקוד של האפליקציה, מפעילים את השימוש בטוקנים לשימוש מוגבל. הוראות ספציפיות למוצרים זמינות במסמכי העזרה הבאים:
במסוף Firebase, עוברים אל Security (אבטחה) > App Check (בדיקת אפליקציות).
מרחיבים את תצוגת המדדים של ה-API המוגן.
מוודאים שהאפשרות Baseline protection (הגנה בסיסית) מוגדרת כEnforced (אכיפה), ואז לוחצים על Continue (המשך).
כדי להפעיל הגנה מפני שידור חוזר, בוחרים באפשרות לא נאכף (מעקב בלבד) או באפשרות נאכף.
כדי להחליט מתי לאכוף את ההגנה מפני הפעלה חוזרת, כדאי להביא בחשבון את הנקודות הבאות:
מומלץ לעקוב אחרי הבקשות אם סביר להניח שמספר משמעותי של משתמשים משתמשים בגרסאות קודמות של האפליקציה שלכם בלי שאסימוני שימוש מוגבל מופעלים. אם תאכפו את ההגנה מפני שידור חוזר באופן מיידי, בקשות מהמשתמשים האלה ייחסמו.
בכרטיסייה APIs (ממשקי API) בקטע Security (אבטחה) > App Check (בדיקת אפליקציות) במסוף Firebase, אפשר לעקוב אחרי המדד Unverified: Reused token (לא מאומת: נעשה שימוש חוזר בטוקן). המדד הזה מייצג את מספר הבקשות שכוללות טוקן שכבר נעשה בו שימוש בבקשה קודמת. אם חלק משמעותי מהבקשות האחרונות שייך לקטגוריה הזו, כדאי להימנע משיבוש הפעילות של המשתמשים ולחכות עד שיותר משתמשים יעדכנו את האפליקציה לפני שתפעילו את האכיפה.