Firebase App Check
App Check membantu melindungi backend aplikasi Anda dari penyalahgunaan dengan mencegah klien yang tidak berkepentingan mengakses resource backend Anda. Fitur ini berfungsi dengan layanan Google (termasuk layanan Firebase dan Google Cloud) dan backend Anda sendiri untuk menjaga keamanan resource Anda.
Dengan App Check, perangkat yang menjalankan aplikasi Anda akan menggunakan penyedia pengesahan aplikasi atau perangkat yang menyatakan salah satu atau kedua hal berikut:
- Permintaan berasal dari aplikasi asli milik Anda
- Permintaan berasal dari perangkat asli yang tidak dimodifikasi
Pengesahan ini dilampirkan untuk setiap permintaan yang dibuat aplikasi Anda ke API yang Anda tentukan. Saat Anda mengaktifkan penerapan App Check, permintaan dari klien tanpa pengesahan yang valid akan ditolak, begitu juga permintaan yang berasal dari aplikasi atau platform yang belum Anda beri otorisasi.
App Check memiliki dukungan bawaan untuk menggunakan layanan berikut sebagai penyedia pengesahan:
- DeviceCheck atau App Attest di platform Apple
- Play Integrity atau SafetyNet (tidak digunakan lagi) di Android
- reCAPTCHA Enterprise di aplikasi web.
Jika layanan ini tidak memadai untuk kebutuhan Anda, Anda juga dapat menerapkan layanan lain yang menggunakan penyedia pengesahan pihak ketiga atau teknik pengesahan Anda sendiri.
App Check berfungsi dengan layanan Google berikut:
Layanan Google yang didukung |
---|
Realtime Database |
Cloud Firestore |
Cloud Storage |
Cloud Functions (fungsi callable) |
Authentication (beta; memerlukan upgrade ke Firebase Authentication dengan Identity Platform) |
Google Identity untuk iOS (beta) |
Vertex AI for Firebase (Pratinjau) |
Anda juga dapat menggunakan App Check untuk melindungi resource backend non-Google.
Siap untuk memulai?
Bagaimana caranya?
Saat Anda mengaktifkan App Check untuk layanan dan menyertakan SDK klien di aplikasi Anda, hal berikut akan terjadi secara berkala:
- Aplikasi berinteraksi dengan penyedia pilihan Anda untuk mendapatkan pengesahan keaslian aplikasi atau perangkat (atau keduanya, bergantung pada penyedia).
- Pengesahan dikirimkan ke server App Check, yang memverifikasi validitas pengesahan menggunakan parameter yang terdaftar pada aplikasi, dan menampilkan token App Check dengan masa berlaku ke aplikasi Anda. Token ini mungkin menyimpan beberapa informasi tentang materi pengesahan yang diverifikasinya.
- SDK klien App Check meng-cache token di aplikasi Anda, yang siap dikirim beserta permintaan apa pun yang diajukan aplikasi ke layanan yang dilindungi.
Layanan yang dilindungi oleh App Check hanya menerima permintaan yang disertai dengan token App Check terbaru yang valid.
Seberapa kuat keamanan yang diberikan oleh App Check?
App Check bergantung pada keandalan penyedia pengesahannya untuk menentukan keaslian aplikasi atau perangkat. Fitur ini mencegah beberapa, tetapi tidak semua, vektor penyalahgunaan yang diarahkan ke backend Anda. Penggunaan App Check tidak menjamin penghapusan semua penyalahgunaan. Namun, dengan mengintegrasikan App Check, Anda mengambil langkah penting untuk melindungi resource backend Anda dari penyalahgunaan.
Bagaimana App Check terkait dengan Firebase Authentication?
App Check dan Firebase Authentication melengkapi metode keamanan aplikasi Anda. Firebase Authentication menyediakan autentikasi pengguna untuk melindungi pengguna Anda, sementara App Check memberikan pengesahan keaslian aplikasi atau perangkat guna melindungi Anda sebagai developer. App Check melindungi akses ke backend kustom dan resource backend Google dengan mewajibkan panggilan API berisi token App Check. Kedua konsep ini bekerja sama untuk membantu mengamankan aplikasi Anda.
Kuota & batas
Penggunaan Anda atas App Check bergantung pada kuota dan batas penyedia pengesahan yang Anda gunakan.
Akses DeviceCheck dan App Attest tunduk pada kuota atau batasan yang ditetapkan oleh Apple.
Play Integrity memiliki kuota harian sebanyak 10.000 panggilan untuk tingkat penggunaan API Standarnya. Untuk mengetahui informasi tentang cara meningkatkan tingkat penggunaan, lihat dokumentasi Play Integrity.
SafetyNet memiliki kuota harian sebanyak 10.000 panggilan. Untuk mengetahui informasi mengenai cara meminta penambahan kuota, lihat dokumentasi SafetyNet.
reCAPTCHA Enterprise tidak dikenai biaya untuk 10.000 penilaian setiap bulan, namun akan dikenai biaya jika jumlahnya lebih dari itu. Lihat harga reCAPTCHA.
Mulai
Siap untuk memulai?
Platform Apple
Android
Web
Flutter
C++
Unity
Pelajari cara menerapkan penyedia App Check kustom:
Pelajari cara menggunakan App Check untuk melindungi resource backend non-Google: