जब किसी मोबाइल या वेब ऐप्लिकेशन से सीधे तौर पर किसी एपीआई को कॉल किया जाता है, तो एपीआई का गलत इस्तेमाल किया जा सकता है. उदाहरण के लिए, जनरेटिव एआई मॉडल को ऐक्सेस करने की अनुमति देने वाले एपीआई. इन एपीआई को गलत इस्तेमाल से बचाने के लिए, Firebase App Check का इस्तेमाल किया जा सकता है. इससे यह पुष्टि की जा सकती है कि एपीआई को किए गए सभी कॉल, आपके असली ऐप्लिकेशन और ऐसे डिवाइस से किए गए हैं जिसमें कोई बदलाव नहीं किया गया है.
Firebase AI Logic एक प्रॉक्सी गेटवे उपलब्ध कराता है. इसकी मदद से, Firebase App Check के साथ इंटिग्रेट किया जा सकता है. साथ ही, आपके मोबाइल और वेब ऐप्लिकेशन से कॉल किए गए जनरेटिव एआई मॉडल एपीआई को सुरक्षित रखा जा सकता है. Firebase AI Logic एसडीके के साथ App Check का इस्तेमाल करने पर, हमारे सभी कॉन्फ़िगरेशन काम करते हैं:
यह "Gemini API" की सुविधा देने वाली दोनों कंपनियों: Gemini Developer API और Vertex AI Gemini API के डेटा की सुरक्षा करता है.
यह सुविधा, Gemini और Imagen, दोनों तरह के मॉडल के साथ काम करती है.
App Check में रीप्ले प्रोटेक्शन की सुविधा भी उपलब्ध है. इसका मतलब है कि App Check टोकन का इस्तेमाल सिर्फ़ एक बार किया जा सकता है.
App Check के काम करने के तरीके के बारे में खास जानकारी
App Check की मदद से, आपके ऐप्लिकेशन का इस्तेमाल करने वाले डिवाइस, ऐप्लिकेशन या डिवाइस की पुष्टि करने वाले ऐसे प्रोवाइडर का इस्तेमाल करते हैं जो इनमें से किसी एक या दोनों की पुष्टि करता है:
- अनुरोध आपके भरोसेमंद ऐप्लिकेशन से किए गए हों
- अनुरोध, किसी असली और सुरक्षित डिवाइस से किए गए हों
यह पुष्टि, आपके ऐप्लिकेशन की ओर से Firebase AI Logic एसडीके का इस्तेमाल करके किए गए हर अनुरोध से जुड़ी होती है. App Check लागू होने पर, ऐसे क्लाइंट के अनुरोध अस्वीकार कर दिए जाएंगे जिनके पास मान्य पुष्टि नहीं है. साथ ही, ऐसे ऐप्लिकेशन या प्लैटफ़ॉर्म से किए गए अनुरोध भी अस्वीकार कर दिए जाएंगे जिन्हें आपने अनुमति नहीं दी है.
App Check सेट अप करते समय, रीप्ले सुरक्षा की सुविधा जोड़ें. इससे App Check टोकन सिर्फ़ एक बार इस्तेमाल किए जा सकते हैं. यह विकल्प, सुरक्षा के बुनियादी स्तर से ज़्यादा सुरक्षा देता है. इससे, अपने ऐप्लिकेशन और इस्तेमाल के उदाहरणों के लिए सुरक्षा का सही लेवल सेट किया जा सकता है.
App Check के बारे में ज़्यादा जानकारी इसके दस्तावेज़ में देखी जा सकती है. इसमें कोटा और सीमाएं भी शामिल हैं.
App Check सेट अप करें
App Check दस्तावेज़ में, पुष्टि करने वाली कंपनियों के बारे में ज़्यादा जानकारी दी गई है. साथ ही, इसे लागू करने के बारे में ज़्यादा जानकारी वाले निर्देश दिए गए हैं.
प्रमाणित करने वाली कोई कंपनी चुनें. इसके बाद, यहां दिए गए लिंक पर जाकर, लागू करने से जुड़े निर्देशों का पालन करें:
- Apple प्लैटफ़ॉर्म: DeviceCheck या App Attest
- Android: Play Integrity
- वेब: reCAPTCHA Enterprise
- Flutter: यह ऊपर दिए गए सभी डिफ़ॉल्ट प्रोवाइडर के साथ काम करता है
अगर प्लगिन के पुराने वर्शन का इस्तेमाल किया जा रहा है, तो खास इंस्टैंटिएशन के बारे में जानकारी नीचे देखें. Flutter और App Check के लिए. - Unity: ऊपर दिए गए सभी डिफ़ॉल्ट प्रोवाइडर के साथ काम करता है
ध्यान दें कि अगर इनमें से कोई भी अटेस्टेशन प्रोवाइडर आपकी ज़रूरतों को पूरा नहीं करता है, तो कस्टम प्रोवाइडर लागू किया जा सकता है. यह कस्टम प्रोवाइडर, तीसरे पक्ष के अटेस्टेशन प्रोवाइडर या आपकी खुद की अटेस्टेशन तकनीकों का इस्तेमाल करता है.
(ज़रूरी है) App Check लागू करने की सुविधा चालू करें. ऐसा तब करें, जब आपको अपने ऐप्लिकेशन को सार्वजनिक तौर पर उपलब्ध सोर्स कोड कंट्रोल सिस्टम में सबमिट करना हो, उसे शेयर करना हो या सार्वजनिक तौर पर उपलब्ध कराना हो.
(सुझाया गया) रीप्ले सुरक्षा जोड़कर सुरक्षा को बेहतर बनाएं. इसका मतलब है कि App Check टोकन का इस्तेमाल सिर्फ़ एक बार किया जा सकता है.
App Check लागू होने पर, लोकल डेवलपमेंट के लिए App Check डीबग प्रोवाइडर को कॉन्फ़िगर करें. इससे पुष्टि को बायपास किया जा सकेगा. साथ ही, App Check को लागू रखा जा सकेगा. अपने प्लैटफ़ॉर्म के लिए सेटअप करने के निर्देश देखें: iOS+ | Android | वेब | Flutter | Unity.
रिप्ले सुरक्षा की सुविधा जोड़कर सुरक्षा को बेहतर बनाना
|
हमारा सुझाव है कि आप एसडीके के सबसे नए वर्शन का इस्तेमाल करें. हालांकि, रिप्ले सुरक्षा की सुविधा का इस्तेमाल करने के लिए, पक्का करें कि इनमें से कम से कम एक वर्शन का इस्तेमाल किया जा रहा हो: Apple प्लैटफ़ॉर्म v12.2.0+ | Android BoM v34.14.0+ (App Check v19.1.0+) | Web v12.14.0+ | Flutter v4.15.0+ (App Check v4.10.0+) | Unity v13.12.0+ |
डिफ़ॉल्ट रूप से, App Check सेशन टोकन का इस्तेमाल करता है. इनका टाइम टू लिव (टीटीएल) कॉन्फ़िगर किया जा सकता है. यह
हालांकि, इस बुनियादी सुरक्षा के अलावा, रीप्ले सुरक्षा को लागू करके सुरक्षा को बेहतर बनाया जा सकता है. यह सुरक्षा, सीमित इस्तेमाल वाले टोकन का इस्तेमाल करती है. रीप्ले सुरक्षा लागू होने पर, ये काम होते हैं:
App Check, Firebase AI Logic के उन अनुरोधों को ब्लॉक कर देगा जिनमें सेशन टोकन का इस्तेमाल किया जाता है. इसके बजाय, App Check सिर्फ़ Firebase AI Logic के लिए अनुरोध स्वीकार करेगा. हालांकि, ऐसा तब होगा, जब Firebase AI Logic हाल ही में जनरेट किए गए, सीमित इस्तेमाल वाले टोकन का इस्तेमाल कर रहा हो.
सीमित तौर पर इस्तेमाल किए जाने वाले टोकन की पुष्टि हो जाने के बाद, टोकन का इस्तेमाल कर लिया जाता है. इससे टोकन का इस्तेमाल सिर्फ़ एक बार किया जा सकता है. इससे, मान्य डेटा को सर्वर के साथ फिर से शेयर करके किए जाने वाले हमलों को रोका जा सकता है.
App Check SDK, हर अनुरोध के लिए, सीमित तौर पर इस्तेमाल किया जाने वाला नया टोकन जनरेट करता है. ध्यान दें कि इस प्रोसेस से आपके अनुरोधों पर असर पड़ सकता है. ऐसा इसलिए, क्योंकि इसमें कुछ समय लग सकता है. साथ ही, कभी-कभी इसमें शुल्क भी लग सकता है. यह शुल्क, पुष्टि करने वाली कंपनी पर निर्भर करता है.
फिर से चलाने से सुरक्षा की सुविधा को सेट अप करना और लागू करना
|
इस पेज पर, सेवा देने वाली कंपनी के हिसाब से कॉन्टेंट और कोड देखने के लिए, Gemini API पर क्लिक करें. |
यहां रीप्ले सुरक्षा को सेट अप करने और लागू करने का तरीका बताया गया है:
अगर आपने अब तक ऐसा नहीं किया है, तो अपने ऐप्लिकेशन के लिए App Check लागू करें और App Check लागू करने की सुविधा चालू करें.
सीमित इस्तेमाल वाले टोकन के इस्तेमाल की सुविधा चालू करें.
अपने ऐप्लिकेशन में इंस्टैंटिएशन के दौरान,
useLimitedUseAppCheckTokensपैरामीटर कोtrueपर सेट करें:Swift
// ... // During instantiation, enable usage of limited-use tokens let ai = FirebaseAI.firebaseAI( backend: .googleAI(), useLimitedUseAppCheckTokens: true ) // ...Kotlin
// ... // During instantiation, enable usage of limited-use tokens val ai = Firebase.ai( backend = GenerativeBackend.googleAI(), useLimitedUseAppCheckTokens = true ) // ...Java
// ... // During instantiation, enable usage of limited-use tokens FirebaseAI ai = FirebaseAI.getInstance( /* backend: */ GenerativeBackend.googleAI(), /* useLimitedUseAppCheckTokens: */ true ); // ...Web
// ... // During instantiation, enable usage of limited-use tokens const ai = getAI(firebaseApp, { backend: new GoogleAIBackend(), useLimitedUseAppCheckTokens: true }); // ...Dart
// ... // During instantiation, enable usage of limited-use tokens final ai = await FirebaseAI.googleAI( useLimitedUseAppCheckTokens: true, ); // ...Unity
// ... // During instantiation, enable usage of limited-use tokens var ai = FirebaseAI.GetInstance( useLimitedUseAppCheckTokens: true ); // ...रीप्ले प्रोटेक्शन लागू करें.
अपने ऐप्लिकेशन के कोडबेस में, पक्का करें कि आपने सीमित इस्तेमाल वाले टोकन के इस्तेमाल की सुविधा चालू की हो (पिछला चरण देखें).
Firebase console में, Security > App Check पर जाएं.
Firebase AI Logic के लिए मेट्रिक व्यू को बड़ा करें.
पक्का करें कि सुरक्षा से जुड़ी बुनियादी सेटिंग लागू की गई हो. इसके बाद, जारी रखें पर क्लिक करें.
रीप्ले सुरक्षा के लिए, लागू नहीं किया गया (सिर्फ़ निगरानी के लिए) या लागू किया गया में से कोई एक विकल्प चुनें.
रीप्ले से सुरक्षा की सुविधा कब लागू करनी है, यह तय करने के लिए इन बातों का ध्यान रखें:
अगर आपके ज़्यादातर उपयोगकर्ता, ऐप्लिकेशन के पुराने वर्शन का इस्तेमाल कर रहे हैं और उन्होंने सीमित इस्तेमाल वाले टोकन का इस्तेमाल चालू नहीं किया है, तो हमारा सुझाव है कि आप अपने अनुरोधों की निगरानी करें. अगर रीप्ले सुरक्षा को तुरंत लागू किया जाता है, तो उन उपयोगकर्ताओं के अनुरोध ब्लॉक कर दिए जाएंगे.
खास तौर पर, पुष्टि नहीं हुई: फिर से इस्तेमाल किया गया टोकन मेट्रिक को मॉनिटर किया जा सकता है. यह उन अनुरोधों की संख्या होती है जिनमें ऐसा टोकन होता है जिसका इस्तेमाल पहले ही किसी अनुरोध में किया जा चुका है. Firebase कंसोल में इस मेट्रिक पर नज़र रखें. इसके लिए, सुरक्षा > ऐप्लिकेशन की जांच > एपीआई टैब पर जाएं.
अगर हाल ही के ज़्यादातर अनुरोध इस कैटगरी में हैं, तो उपयोगकर्ताओं को परेशानी से बचाया जा सकता है. साथ ही, रीप्ले सुरक्षा को लागू करने के लिए तब तक इंतज़ार किया जा सकता है, जब तक ज़्यादातर उपयोगकर्ता आपके ऐप्लिकेशन के ऐसे वर्शन पर अपडेट न कर लें जो सीमित इस्तेमाल वाले टोकन का इस्तेमाल करता है.
जानें कि Firebase AI Logic, App Check के साथ कैसे इंटिग्रेट होता है
Firebase AI Logic SDK टूल इस्तेमाल करने के लिए, आपके Firebase प्रोजेक्ट में Firebase AI Logic API (firebasevertexai.googleapis.com) चालू होना चाहिए. ऐसा इसलिए होता है, क्योंकि Firebase AI Logic SDK से किए गए अनुरोध सबसे पहले Firebase AI Logic सर्वर को भेजे जाते हैं. यह सर्वर, प्रॉक्सी गेटवे के तौर पर काम करता है. यहां अनुरोध को "Gemini API" सेवा देने वाली कंपनी के बैकएंड और Gemini और Imagen मॉडल को ऐक्सेस करने वाले एपीआई पर आगे बढ़ने की अनुमति मिलने से पहले, Firebase App Check पुष्टिFirebase App Check की जाती है.
(ज़रूरी नहीं) प्रोडक्शन अटेस्टेशन की सुविधा देने वाली कंपनी के बिना App Check लागू करें (सिर्फ़ डीबग की सुविधा देने वाली कंपनी के लिए)
अपने ऐप्लिकेशन को प्रोडक्शन अटेस्टेशन प्रोवाइडर के साथ रजिस्टर किए बिना, AI Logic के लिए App Check लागू किया जा सकता है. इस सेटअप की मदद से, Gemini API की सुरक्षा करते हुए AI Logic को आसानी से इस्तेमाल किया जा सकता है. इसके लिए, App Check डीबग प्रोवाइडर का इस्तेमाल किया जाता है.
देखें कि AI Logic के लिए, App Check पहले से लागू है या नहीं.
Firebase कंसोल में, सुरक्षा > App Check > एपीआई टैब पर जाएं.
Firebase AI Logic के लिए लाइन ढूंढें. अगर आपको
Unenforcedदिखता है, तो इन निर्देशों का पालन करें.
Firebase AI Logic की लाइन पर क्लिक करें. इसके बाद, आपको मेट्रिक के ग्राफ़ दिखेंगे. उन ग्राफ़ के नीचे, सेट अप करें पर क्लिक करें.
डायलॉग की पहली स्क्रीन (बेसलान प्रोटेक्शन) में, लागू किया गया को चुनें. इसके बाद, जारी रखें पर क्लिक करें.
अगली स्क्रीन (Replay protection) में, Disabled को चुनें. आपके पास इसे बाद में सेट अप करने का विकल्प होता है. इसके बाद, इस सेटअप वर्कफ़्लो पर वापस आएं. जारी रखें पर क्लिक करें.
आखिरी स्क्रीन पर, App Check को लागू करने से जुड़ी बातों की समीक्षा करें. इससे यह पक्का किया जा सकेगा कि App Check को लागू करने के लिए, आप तैयार हैं. अगर आप तैयार हैं, तो जारी रखें पर क्लिक करें.
अगर आपको सिर्फ़ प्री-प्रोडक्शन ऐप्लिकेशन में App Check लागू करना है और सिर्फ़ AI Logic के साथ डीबग प्रोवाइडर का इस्तेमाल करना है, तो आपको अपने ऐप्लिकेशन रजिस्टर करने की ज़रूरत नहीं है. हालांकि, जब आपको अपने ऐप्लिकेशन को उपयोगकर्ताओं के लिए रिलीज़ करना हो, तब आपको अपने ऐप्लिकेशन रजिस्टर करने होंगे. ऐसा प्रोडक्शन एटेस्टेशन प्रोवाइडर (जैसे, App Attest, Play Integrity या reCAPTCHA Enterprise) सेट अप करने के लिए करना होगा.
App Check लागू होने पर, लोकल डेवलपमेंट के लिए आपको App Check debug provider को कॉन्फ़िगर करना होगा, ताकि पुष्टि को बायपास किया जा सके. हालांकि, App Check को लागू रखना होगा.
डीबग प्रोवाइडर को कॉन्फ़िगर करने के बारे में ज़्यादा जानने के लिए, अपने प्लैटफ़ॉर्म के हिसाब से निर्देश देखें: iOS+ | Android | वेब | Flutter | Unity.