The latest Gemini models, like Gemini 3.5 Flash, are available to use with Firebase AI Logic! Learn more.

All Imagen models will shut down as early as June 30, 2026. Learn about migrating your apps to use Nano Banana.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

איך מונעים שימוש לרעה ב-Gemini API באמצעות Firebase App Check

כשמפעילים API ישירות מאפליקציה לנייד או מאפליקציית אינטרנט (לדוגמה, ממשקי ה-API שמאפשרים גישה למודלים של AI גנרטיבי), ה-API חשוף לניצול לרעה על ידי לקוחות לא מורשים. כדי להגן על ממשקי ה-API האלה מפני ניצול לרעה, אפשר להשתמש ב-Firebase App Check כדי לוודא שכל הקריאות הנכנסות ל-API מגיעות מהאפליקציה האמיתית שלכם וממכשיר שלא בוצעו בו שינויים.

Firebase AI Logic מספקת שער פרוקסי שמאפשר לכם לשלב עם Firebase App Check ולהגן על ממשקי ה-API של מודלים של AI גנרטיבי שמופעלים על ידי אפליקציות לנייד ולאינטרנט. השימוש ב-App Check עם ערכות ה-SDK של Firebase AI Logic תומך בכל ההגדרות שלנו:

מגן על שני ספקי Gemini API: Gemini Developer API ו-Vertex AI Gemini API.
ההגנה חלה על כל המודלים הנתמכים, גם על מודלים של Gemini וגם על מודלים של Imagen

‫App Check תומך גם בהגנה מפני מתקפות מסוג Replay, כלומר אפשר להשתמש בטוקן App Check רק פעם אחת.

סיכום כללי של אופן הפעולה של App Check

באמצעות App Check, מכשירים שמריצים את האפליקציה שלכם משתמשים בספק אימות אפליקציה או מכשיר שמאמת אחד או יותר מהדברים הבאים:

הבקשות מגיעות מהאפליקציה המאומתת שלכם
הבקשות מגיעות ממכשיר מקורי שלא בוצעו בו שינויים

האישור הזה מצורף לכל בקשה שהאפליקציה שולחת באמצעות SDK‏ Firebase AI Logic. כשמפעילים את האכיפה של App Check, בקשות מלקוחות ללא אישור תקף יידחו, וכך גם בקשות שמקורן באפליקציה או בפלטפורמה שלא אישרתם.

כשמגדירים App Check, כדאי להוסיף הגנה מפני שידור חוזר, כדי שאסימוני App Check יהיו חד-פעמיים. האפשרות הזו מציעה הגנה משופרת מעבר להגנה הבסיסית, ומאפשרת לכם להגדיר רמת הגנה מתאימה לאפליקציה ולתרחישי השימוש.

במסמכי התיעוד של App Check אפשר למצוא מידע מפורט על App Check, כולל מכסות ומגבלות.

הגדר את App Check

במאמרי העזרה של App Check יש תיאורים מפורטים של ספקי אישורים והוראות הטמעה מפורטות.

בוחרים ספק אימות ברירת מחדל ופועלים לפי הוראות ההטמעה בקישורים הבאים:
- פלטפורמות של אפל: DeviceCheck או App Attest
- ‫Android: Play Integrity
- Web: reCAPTCHA Enterprise
- ‫Flutter: תומך בכל ספקי ברירת המחדל שצוינו למעלה
  . אם אתם משתמשים בגרסאות ישנות יותר של הפלאגין, כדאי לעיין בהערה לגבי יצירת מופע מיוחד שבהמשך.‫App Check
- ‫Unity: תומך בכל ספקי ברירת המחדל שצוינו למעלה
שימו לב: אם אף אחד מספקי האימות שמוגדרים כברירת מחדל לא מספיק לצרכים שלכם, אתם יכולים להטמיע ספק בהתאמה אישית שמשתמש בספק אימות של צד שלישי או בטכניקות אימות משלכם.
(חובה) הפעלת האכיפה של App Check לפני שמעבירים את האפליקציה למערכת ניהול קוד מקור שזמינה לציבור, משתפים את האפליקציה או הופכים אותה לזמינה לציבור.
(מומלץ) שיפור ההגנה על ידי הוספת הגנה מפני שידור חוזר, כלומר, אפשר להשתמש בטוקן App Check רק פעם אחת.

נדרשת יצירת מופע מיוחד ב-Flutter אם משתמשים בגרסאות ישנות יותר של הפלאגין

לוחצים על הספק Gemini API כדי לראות בדף הזה תוכן וקוד שספציפיים לספק.

ההפעלה המיוחדת הזו נדרשת רק אם האפליקציה שלכם משתמשת בפלאגין Flutter firebase_ai בגרסה 3.11.0 ומטה (BoM בגרסה 4.12.0 ומטה). אם האפליקציה שלכם משתמשת בגרסה חדשה יותר של הפלאגין, אין צורך ביצירת המופע המיוחד הזה.

אם מפעילים את App Check, באפליקציות Flutter שמשתמשות בגרסאות ישנות יותר של פלאגינים, צריך להעביר את App Check באופן מפורש במהלך יצירת המופע, כך:


// ...

// During instantiation, enable usage of limited-use tokens
final ai = await FirebaseAI.googleAI(
  // For Flutter plugin v3.11.0 or lower (BoM v4.12.0 or lower), pass in App Check explicitly.
  appCheck: FirebaseAppCheck.instance,
  useLimitedUseAppCheckTokens: true,
);

// ...

שיפור ההגנה על ידי הוספת הגנה מפני הפעלת תקיפה חוזרת

מומלץ להשתמש בגרסאות ה-SDK העדכניות ביותר, אבל כדי להשתמש בהגנה מפני שידור חוזר, צריך לוודא שאתם משתמשים לפחות באחת מהגרסאות הבאות:
Apple platforms v12.2.0+‎ | Android BoM v34.14.0+‎ (App Check v19.1.0+‎) | Web v12.14.0+‎ | Flutter v4.15.0+‎ (App Check v4.10.0+‎) | Unity v13.12.0+‎

כברירת מחדל, App Check משתמש באסימוני סשן עם אורך חיים (TTL) שניתן להגדרה בין 30 דקות לבין 7 ימים. אסימוני הסשן האלה נשמרים במטמון על ידי App Check SDK, נשלחים עם בקשות מהאפליקציה שלכם, ואפשר לעשות בהם שימוש חוזר עד שתוקף ה-TTL שלהם יפוג. שימוש באסימוני סשן נחשב להגנה בסיסית.

עם זאת, אתם יכולים לשפר את ההגנה מעבר להגנה הבסיסית הזו על ידי אכיפה של הגנה מפני שידור חוזר, שמשתמשת במקום זאת באסימונים לשימוש מוגבל. כשמפעילים את ההגנה מפני שידור חוזר, קורים הדברים הבאים:

‫App Check יחסום בקשות אל Firebase AI Logic שמשתמשות בטוקנים של סשנים. במקום זאת, App Check יאפשר בקשה ל-Firebase AI Logic רק אם נעשה בה שימוש באסימון חדש לשימוש מוגבל.
אחרי שהטוקן לשימוש מוגבל מאומת, המערכת משתמשת בו כך שאפשר להשתמש בו רק פעם אחת, כדי למנוע מתקפות מסוג Replay.
‫App Check SDK יוצר טוקן חדש לשימוש מוגבל עבור כל בקשה. חשוב לזכור שהתהליך הזה יכול להשפיע על הבקשות שלכם, כי הוא מוסיף זמן אחזור ולפעמים גם עלות (בהתאם לספק האישורים).

הגדרה של הגנה מפני הפעלה חוזרת ואכיפה שלה

לוחצים על הספק Gemini API כדי לראות בדף הזה תוכן וקוד שספציפיים לספק.

כך מגדירים ומפעילים הגנה מפני הפעלה חוזרת:

אם עדיין לא עשיתם זאת, הטמיעו את App Check והפעילו את האכיפה של App Check באפליקציה שלכם.

הפעלת השימוש בטוקנים לשימוש מוגבל.

באפליקציה, במהלך יצירת המופע, מגדירים את הפרמטר useLimitedUseAppCheckTokens לערך true:

Swift


// ...

// During instantiation, enable usage of limited-use tokens
let ai = FirebaseAI.firebaseAI(
  backend: .googleAI(),
  useLimitedUseAppCheckTokens: true
)

// ...

Kotlin


// ...

// During instantiation, enable usage of limited-use tokens
val ai = Firebase.ai(
  backend = GenerativeBackend.googleAI(),
  useLimitedUseAppCheckTokens = true
)

// ...

Java


// ...

// During instantiation, enable usage of limited-use tokens
FirebaseAI ai = FirebaseAI.getInstance(
  /* backend: */ GenerativeBackend.googleAI(),
  /* useLimitedUseAppCheckTokens: */ true
);

// ...

Web


// ...

// During instantiation, enable usage of limited-use tokens
const ai = getAI(firebaseApp, {
  backend: new GoogleAIBackend(),
  useLimitedUseAppCheckTokens: true
});

// ...

Dart


// ...

// During instantiation, enable usage of limited-use tokens
final ai = await FirebaseAI.googleAI(
  useLimitedUseAppCheckTokens: true,
);

// ...

Unity

// ...

// During instantiation, enable usage of limited-use tokens
var ai = FirebaseAI.GetInstance(
  useLimitedUseAppCheckTokens: true
);

// ...

אכיפת הגנה מפני שידור חוזר.
1. בבסיס הקוד של האפליקציה, מוודאים שהפעלתם את השימוש בטוקנים לשימוש מוגבל (ראו את השלב הקודם).
2. במסוף Firebase, עוברים אל Security (אבטחה) >‏ App Check (בדיקת אפליקציות).
3. מרחיבים את תצוגת המדדים של Firebase AI Logic.
4. מוודאים שהאפשרות Baseline protection (הגנה בסיסית) מוגדרת כEnforced (אכיפה), ואז לוחצים על Continue (המשך).
5. בקטע 'הגנה מפני הפעלה חוזרת', בוחרים באפשרות לא נאכף (מעקב בלבד) או באפשרות נאכף.
  
  כדי להחליט מתי לאכוף את ההגנה מפני הפעלה חוזרת, כדאי להביא בחשבון את הנקודות הבאות:
  - מומלץ לעקוב אחרי הבקשות אם סביר להניח שמספר משמעותי של משתמשים משתמשים בגרסאות קודמות של האפליקציה שלכם בלי שטוקנים לשימוש מוגבל מופעלים. אם תאכפו את ההגנה מפני שידור חוזר באופן מיידי, בקשות מהמשתמשים האלה ייחסמו.
  - אפשר לעקוב באופן ספציפי אחרי המדד Unverified: Reused token, שמייצג את מספר הבקשות שכוללות אסימון שכבר נעשה בו שימוש בבקשה קודמת. אפשר לעקוב אחרי המדד הזה במסוף Firebase (נכנסים אל אבטחה > App Check > הכרטיסייה ממשקי API).
    
    אם חלק משמעותי מהבקשות האחרונות שייך לקטגוריה הזו, תוכלו להימנע משיבוש הפעילות של המשתמשים ולחכות עם הפעלת ההגנה מפני התקפות חוזרות עד שיותר משתמשים יעברו לגרסה של האפליקציה שלכם שמשתמשת בטוקנים לשימוש מוגבל.

הערה: אם רק הפעלתם שימוש באסימונים לשימוש מוגבל, ולא הפעלתם הגנה מפני הפעלה חוזרת, חשוב שתדעו את הדברים הבאים:

ה-TTL של טוקנים לשימוש מוגבל הוא 5 דקות בלבד, ואי אפשר לשנות אותו (בניגוד לטוקנים של סשנים). כשלא נאכפת הגנה מפני שימוש חוזר, אסימונים לשימוש מוגבל דומים לאסימונים של סשן בכך שאפשר לעשות בהם שימוש חוזר עד שתוקף ה-TTL שלהם פג.
למרות שהטוקנים לשימוש מוגבל תקפים ל-5 דקות, ה-SDK עדיין ייצור טוקן חדש לכל בקשה. בנוסף, ערכות ה-SDK לא שומרות במטמון טוקנים לשימוש מוגבל.
כשההגנה מפני הפעלה חוזרת לא נאכפת, App Check לא חוסם בקשות אל Firebase AI Logic שמשתמשות בטוקנים תקפים של סשן.

איך Firebase AI Logic משתלב עם App Check

כדי להשתמש ב-SDKs‏ Firebase AI Logic צריך להפעיל את Firebase AI Logic API‏ (firebasevertexai.googleapis.com) בפרויקט Firebase. הסיבה לכך היא שבקשות שנשלחות על ידי ערכות ה-SDK של Firebase AI Logic נשלחות קודם לשרת Firebase AI Logic, שפועל כשער פרוקסי שבו מתבצעת אימות Firebase App Check לפני שהבקשה מקבלת אישור להמשיך אל הקצה העורפי של ספק Gemini API שבחרתם ואל ממשקי ה-API לגישה למודלים של Gemini ושל Imagen.