Saat Anda memanggil API langsung dari aplikasi seluler atau web (misalnya, API yang memungkinkan akses ke model AI generatif), API tersebut rentan terhadap penyalahgunaan oleh klien yang tidak sah. Untuk membantu melindungi API ini, Anda dapat menggunakan Firebase App Check untuk memverifikasi bahwa semua panggilan API yang masuk berasal dari aplikasi Anda yang sebenarnya.
Firebase AI Logic menyediakan gateway proxy yang memungkinkan Anda berintegrasi dengan Firebase App Check dan melindungi API model AI generatif yang dipanggil oleh aplikasi seluler dan web Anda. Penggunaan App Check dengan Firebase AI Logic SDK mendukung semua konfigurasi kami:
Melindungi kedua penyedia "Gemini API": Gemini Developer API dan Vertex AI Gemini API.
Melindungi semua model yang didukung, baik Gemini model maupun Imagen model.
Ringkasan tingkat tinggi tentang cara kerja App Check
Dengan App Check, perangkat yang menjalankan aplikasi Anda menggunakan penyedia pengesahan aplikasi atau perangkat yang memverifikasi salah satu atau kedua hal berikut:
- Permintaan berasal dari aplikasi asli milik Anda
- Permintaan berasal dari perangkat asli yang tidak dimodifikasi
Pengesahan ini dilampirkan untuk setiap permintaan yang dibuat aplikasi Anda menggunakan Firebase AI Logic SDK. Saat Anda mengaktifkan App Check penerapan, permintaan dari klien tanpa pengesahan yang valid akan ditolak, begitu juga permintaan yang berasal dari aplikasi atau platform yang belum Anda beri otorisasi.
Sebaiknya saat Anda menyiapkan App Check, pastikan untuk bersiap menghadapi perlindungan yang ditingkatkan mendatang (dikenal sebagai perlindungan replay).
Anda dapat menemukan informasi mendetail tentang App Check dalam dokumentasinya, termasuk kuota dan batasnya.
Penyedia yang tersedia dan petunjuk penerapan
Dokumentasi App Check memberikan deskripsi penyedia pengesahan serta petunjuk penerapan.
Pilih penyedia default, dan ikuti petunjuk penerapan di link berikut:
- Platform Apple: DeviceCheck atau App Attest
- Android: Play Integrity
- Web: reCAPTCHA Enterprise
- Flutter: Mendukung
semua penyedia default di atas
Selain itu, pastikan untuk mengikuti persyaratan pembuatan instance khusus untuk Flutter dan App Check. - Unity: Mendukung semua penyedia default di atas
Perhatikan bahwa jika tidak ada penyedia default yang memadai untuk kebutuhan Anda, Anda dapat menerapkan penyedia kustom yang menggunakan penyedia pengesahan pihak ketiga atau teknik pengesahan Anda sendiri.
(Direkomendasikan) Bersiaplah untuk perlindungan yang ditingkatkan mendatang dari App Check (dikenal sebagai perlindungan replay).
(Wajib) Sebelum Anda merilis aplikasi kepada pengguna sebenarnya, aktifkan penerapan App Check.
Pembuatan instance khusus yang diperlukan untuk Flutter
|
Klik penyedia Gemini API untuk melihat konten khusus penyedia dan kode di halaman ini. |
Saat menggunakan App Check dengan Firebase AI Logic di aplikasi Flutter, Anda harus secara eksplisit meneruskan App Check selama pembuatan instance, seperti berikut:
// ...
final ai = await FirebaseAI.googleAI(
appCheck: FirebaseAppCheck.instance, // for Flutter, pass in App Check explicitly
);
// ...
Bersiap menghadapi perlindungan yang ditingkatkan mendatang
| Penggunaan token penggunaan terbatas didukung untuk platform Apple (v12.2.0+), Android (v17.2.0+, BoM v34.2.0+), Web (v12.3.0+), dan Flutter (v3.2.0+, BoM v4.2.0+). Dukungan untuk Unity akan segera hadir. |
Secara default, App Check menggunakan token sesi yang memiliki
waktu aktif (TTL) yang dapat dikonfigurasi antara
Di masa mendatang, App Check akan menambahkan opsi untuk mengaktifkan perlindungan replay untuk Firebase AI Logic (mirip dengan dukungan yang sudah App Check tawarkan untuk beberapa resource lainnya). Saat perlindungan replay diaktifkan, perlindungan akan ditingkatkan dengan cara berikut:
App Check hanya akan mengizinkan permintaan jika disertai dengan jenis token khusus yang disebut token penggunaan terbatas.
Setelah token penggunaan terbatas diverifikasi, token akan digunakan sehingga hanya dapat digunakan satu kali, sehingga mencegah serangan replay.
Untuk bersiap menghadapi perlindungan replay, sebaiknya aktifkan penggunaan token penggunaan terbatas sebagai bagian dari penyiapan App Check. Dengan begitu, saat perlindungan replay tersedia, Anda dapat mengaktifkannya lebih cepat karena lebih banyak pengguna Anda akan menggunakan versi aplikasi yang mengirim token penggunaan terbatas.
Perhatikan hal berikut jika Anda mengaktifkan penggunaan token penggunaan terbatas di aplikasi Anda sekarang (saat perlindungan replay tidak tersedia):
App Check tidak memblokir penggunaan token sesi yang valid.
Sama seperti token sesi, token penggunaan terbatas di-cache oleh App Check SDK dan dikirim bersama dengan permintaan. Token penggunaan terbatas ini memberikan perlindungan tambahan dalam jumlah kecil dibandingkan token sesi default karena token penggunaan terbatas memiliki TTL yang lebih singkat (hanya
5 menit dan tidak dapat disesuaikan) dibandingkan dengan token sesi.Meskipun token penggunaan terbatas berlaku selama
5 menit , SDK akan tetap membuat token baru untuk setiap permintaan. Proses ini dapat menambahkan latensi ke permintaan Anda.
Namun, saat perlindungan replay tersedia untuk Firebase AI Logic di masa mendatang (dan Anda mengaktifkannya), penggunaan token sesi dan penggunaan kembali token penggunaan terbatas tidak akan memungkinkan. Perhatikan bahwa latensi tambahan untuk membuat token baru untuk setiap permintaan akan tetap terjadi.
Mengaktifkan penggunaan token penggunaan terbatas
|
Klik penyedia Gemini API untuk melihat konten khusus penyedia dan kode di halaman ini. |
Berikut cara mengaktifkan penggunaan token penggunaan terbatas:
Implementasikan App Check, dan pastikan Anda telah mengaktifkan App Check penerapan untuk aplikasi Anda.
Di aplikasi Anda selama pembuatan instance, aktifkan penggunaan token penggunaan terbatas dengan menetapkan parameter
useLimitedUseAppCheckTokensketrue:Swift
// ... // During instantiation, enable usage of limited-use tokens let ai = FirebaseAI.firebaseAI( backend: .googleAI(), useLimitedUseAppCheckTokens: true ) // ...Kotlin
// ... // During instantiation, enable usage of limited-use tokens val ai = Firebase.ai( backend = GenerativeBackend.googleAI(), useLimitedUseAppCheckTokens = true ) // ...Java
// ... // During instantiation, enable usage of limited-use tokens FirebaseAI ai = FirebaseAI.getInstance( /* backend: */ GenerativeBackend.googleAI(), /* useLimitedUseAppCheckTokens: */ true ); // ...Web
// ... // During instantiation, enable usage of limited-use tokens const ai = getAI(firebaseApp, { backend: new GoogleAIBackend(), useLimitedUseAppCheckTokens: true }); // ...Dart
// ... // During instantiation, enable usage of limited-use tokens final ai = await FirebaseAI.googleAI( appCheck: FirebaseAppCheck.instance, // for Flutter, pass in App Check explicitly useLimitedUseAppCheckTokens: true, ); // ...Unity
Penggunaan token penggunaan terbatas dengan game Unity akan didukung dalam rilis mendatang. Periksa kembali nanti!
Memahami cara Firebase AI Logic berintegrasi dengan App Check
Untuk menggunakan Firebase AI Logic SDK, Firebase AI Logic API (firebasevertexai.googleapis.com)
harus diaktifkan di project Firebase Anda. Hal ini karena permintaan yang dibuat oleh
Firebase AI Logic SDK pertama-tama dikirim ke Firebase AI Logic
server, yang bertindak sebagai gateway proxy tempat verifikasi Firebase App Checkdilakukan sebelum permintaan diizinkan untuk melanjutkan ke backend penyedia "Gemini API" yang Anda pilih dan API untuk mengakses model Gemini
dan Imagen.