Usa App Check para proteger tu clave de API

La Verificación de aplicaciones de Firebase protege las llamadas de tu app a Google Maps Platform, ya que bloquea el tráfico que proviene de fuentes que no son apps legítimas. Para ello, verifica si hay un token de un proveedor de certificación, como reCAPTCHA Enterprise. Integrar tus apps con la Verificación de aplicaciones ayuda a protegerlas contra solicitudes maliciosas, por lo que no se te cobrarán las llamadas a la API no autorizadas.

¿App Check es la opción adecuada para mí?

Se recomienda usar App Check en la mayoría de los casos, pero no es necesario ni se admite en los siguientes casos:

  • Estás usando el SDK de Places original. App Check solo es compatible con el SDK de Places (nuevo).
  • Apps privadas o experimentales Si tu app no es de acceso público, no es necesario usar App Check.
  • Si tu app solo se usa de servidor a servidor, no es necesario App Check. Sin embargo, si el servidor que se comunica con GMP es utilizado por clientes públicos (como las apps para dispositivos móviles), considera usar App Check para proteger ese servidor en lugar de GMP.

Descripción general de los pasos de implementación

En términos generales, estos son los pasos que seguirás para integrar tu app con App Check:

  1. Agrega Firebase a tu app.
  2. Agrega e inicializa la biblioteca de la Verificación de aplicaciones.
  3. Agrega el proveedor de tokens a tu app.
  4. Inicializa las APIs de Places y de App Check.
  5. Habilita la depuración.
  6. Supervisa las solicitudes de tu app y decide si aplicarás la aplicación de políticas.

Una vez que realices la integración con App Check, podrás ver las métricas de tráfico del backend en Firebase console. Estas métricas proporcionan un desglose de las solicitudes según si están acompañadas de un token válido de Verificación de aplicaciones. Consulta la documentación de Firebase App Check para obtener más información.

Cuando te asegures de que la mayoría de las solicitudes provienen de fuentes legítimas y de que los usuarios actualizaron a la versión más reciente de tu app que incluye la implementación de la Verificación de aplicaciones, puedes activar la aplicación forzosa. Una vez que se aplique la Verificación de aplicaciones, esta rechazará todo el tráfico que no tenga un token de Verificación de aplicaciones válido.

Consideraciones para planificar una integración de la Verificación de aplicaciones

Estos son algunos aspectos que debes tener en cuenta cuando planifiques tu integración:

  • Uno de los proveedores de certificación que recomendamos, reCAPTCHA Enterprise, cobra por más de 10,000 evaluaciones por mes.

    El otro proveedor de certificación que recomendamos, reCAPTCHA v3, tiene una cuota después de la cual no se evaluará el tráfico.

    Puedes optar por usar un proveedor de certificación personalizado, aunque este es un caso de uso avanzado. Consulta la documentación de App Check para obtener más información.

  • Los usuarios de tu app experimentarán cierta latencia al iniciarla. Sin embargo, después, cualquier nueva certificación periódica se realizará en segundo plano y los usuarios ya no deberían experimentar latencia. La cantidad exacta de latencia en el inicio depende del proveedor de certificación que elijas.

    La cantidad de tiempo durante el que el token de Verificación de aplicaciones es válido (el tiempo de actividad o TTL) determina la frecuencia de las revalidaciones. Esta duración se puede configurar en Firebase console. La reatestación se produce cuando transcurre aproximadamente la mitad del TTL. Para obtener más información, consulta los documentos de Firebase para tu proveedor de certificación.

Integra tu app con la Verificación de aplicaciones

Requisitos previos y requisitos

Paso 1: Agrega Firebase a tu app

Sigue las instrucciones de la documentación para desarrolladores de Firebase para agregar Firebase a tu app.

Paso 2: Agrega la biblioteca de la Verificación de aplicaciones y, luego, inicialízala

Firebase proporciona instrucciones para cada proveedor de certificación predeterminado. En estas instrucciones, se muestra cómo configurar un proyecto de Firebase y agregar la biblioteca de App Check a tu app. Sigue los ejemplos de código proporcionados para inicializar App Check.

Paso 3: Carga las bibliotecas de la API de Maps JS

  1. Carga las bibliotecas principales, de Maps y de Places, como se muestra en el siguiente fragmento. Para obtener más información y consultar las instrucciones, consulta la documentación de la clase Place de la API de Maps JavaScript. 

    async function init() {
  const {Settings} = await google.maps.importLibrary('core');
  const {Map} = await google.maps.importLibrary('maps');
  const {Place} = await google.maps.importLibrary('places');
}

Paso 4: Inicializa las APIs de Places y App Check

  1. Inicializa App Check con la configuración proporcionada por Firebase console.
  2. Asegúrate de que las solicitudes a la API de Maps JS estén acompañadas de tokens de App Check: 
      async function init() {
    const {Settings} = await google.maps.importLibrary('core');
    const {Map} = await google.maps.importLibrary('maps');
    const {Place} = await google.maps.importLibrary('places');
  
    const app = initializeApp({
      // Your firebase configuration object
    });
  
    // Pass your reCAPTCHA Enterprise site key to initializeAppCheck().
    const appCheck = initializeAppCheck(app, {
      provider: new ReCaptchaEnterpriseProvider(
        'abcdefghijklmnopqrstuvwxy-1234567890abcd',
      ),
  
      // Optional argument. If true, the SDK automatically refreshes App Check
      // tokens as needed.
      isTokenAutoRefreshEnabled: true,
    });
  
    Settings.getInstance().fetchAppCheckToken = () =>
        getToken(appCheck, /* forceRefresh = */ false);
  
    // Make a Places JS request
    const place = new Place({id: 'ChIJN5Nz71W3j4ARhx5bwpTQEGg'});
    await place.fetchFields({fields: ['*']});
  
    // Load a map
    map = new Map(document.getElementById("map"), {
      center: { lat: 37.4161493, lng: -122.0812166 },
      zoom: 8,
    });
  }

Paso 5: Habilita la depuración (opcional)

Si quieres desarrollar y probar tu app de forma local, o bien ejecutarla en un entorno de integración continua (CI), puedes crear una compilación de depuración de tu app que use un secreto de depuración para obtener tokens válidos de la Verificación de aplicaciones. Esto te permite evitar el uso de proveedores de certificación reales en tu compilación de depuración.

Para probar tu app de forma local, haz lo siguiente:

  • Activa el proveedor de depuración para fines de desarrollo.
  • Recibirás un UUID4 aleatorio generado automáticamente (llamado _token de depuración_ en la documentación de App Check) de los registros de depuración del SDK. Agrega este token a Firebase console.
  • Para obtener más información y consultar las instrucciones, consulta la documentación de App Check.

Para ejecutar tu app en un entorno de CI, haz lo siguiente:

  • Genera un UUID4 aleatorio desde Firebase console.
  • Agrega el UUID4 como token de depuración y, luego, cópialo en un almacén secreto al que accederán las pruebas de CI por cada ejecución de prueba.
  • Para obtener más información y consultar las instrucciones, consulta la documentación de App Check.

Paso 6: Supervisa las solicitudes de tu app y decide si aplicarás la aplicación de políticas

Antes de comenzar a aplicar la política, debes asegurarte de que no interrumpirás a los usuarios legítimos de tu app. Para ello, visita la pantalla de métricas de la Verificación de aplicaciones y observa qué porcentaje del tráfico de tu app está verificado, desactualizado o es ilegítimo. Una vez que veas que se verificó la mayoría de tu tráfico, podrás habilitar la aplicación de la política.

Consulta la documentación de la Verificación de aplicaciones de Firebase para obtener más información y las instrucciones.