Verificação do aplicativo Firebase
O App Check ajuda a proteger os recursos da API contra abusos, evitando que clientes não autorizados acessem seus recursos de back-end. Ele funciona com serviços Firebase, serviços Google Cloud e suas próprias APIs para manter seus recursos seguros.
Com o App Check, os dispositivos que executam seu aplicativo usarão um provedor de atestado de aplicativo ou dispositivo que ateste um ou ambos os seguintes itens:
- As solicitações originam-se do seu aplicativo autêntico
- As solicitações se originam de um dispositivo autêntico e inalterado
Esse atestado é anexado a todas as solicitações que seu aplicativo faz às APIs especificadas. Ao ativar a aplicação do App Check, as solicitações de clientes sem um atestado válido serão rejeitadas, assim como qualquer solicitação originada de um aplicativo ou plataforma que você não tenha autorizado.
O App Check tem suporte integrado para usar os seguintes serviços como provedores de atestado:
- DeviceCheck ou App Attest em plataformas Apple
- Jogue Integrity ou SafetyNet (obsoleto) no Android
- reCAPTCHA Enterprise em aplicativos da web.
Se isso for insuficiente para suas necessidades, você também poderá implementar seu próprio serviço que use um provedor de atestado terceirizado ou suas próprias técnicas de atestado.
Atualmente, o App Check funciona com os seguintes produtos do Firebase:
| Produtos Firebase compatíveis |
|---|
| Banco de dados em tempo real |
| Cloud Fire Store |
| Armazenamento na núvem |
| Cloud Functions (funções que podem ser chamadas) |
| Autenticação (beta; requer atualização para Firebase Authentication com Identity Platform ) |
Você também pode usar o App Check para proteger seus recursos de back-end que não são do Firebase.
Pronto para começar?
Como funciona?
Quando você habilita o App Check para um serviço e inclui o SDK do cliente em seu aplicativo, o seguinte acontece periodicamente:
- Seu aplicativo interage com o provedor de sua escolha para obter um atestado de autenticidade do aplicativo ou do dispositivo (ou ambos, dependendo do provedor).
- O atestado é enviado ao servidor App Check, que verifica a validade do atestado usando parâmetros registrados no aplicativo e retorna ao seu aplicativo um token do App Check com um prazo de validade. Este token pode reter algumas informações sobre o material de atestado verificado.
- O SDK do cliente App Check armazena em cache o token em seu aplicativo, pronto para ser enviado junto com quaisquer solicitações que seu aplicativo fizer a serviços protegidos.
Um serviço protegido pelo App Check aceita apenas solicitações acompanhadas de um token do App Check válido e atual.
Quão forte é a segurança fornecida pelo App Check?
O App Check depende da força de seus provedores de atestados para determinar a autenticidade do aplicativo ou dispositivo. Ele evita alguns, mas não todos, vetores de abuso direcionados aos seus back-ends. Usar o App Check não garante a eliminação de todos os abusos, mas ao integrar-se ao App Check, você está dando um passo importante em direção à proteção contra abusos para seus recursos de back-end.
Como o App Check está relacionado ao Firebase Authentication?
O App Check e o Firebase Authentication são partes complementares da história de segurança do seu aplicativo. O Firebase Authentication fornece autenticação de usuário, que protege seus usuários, enquanto o App Check fornece atestado de autenticidade do aplicativo ou dispositivo, que protege você, o desenvolvedor. O App Check protege o acesso aos seus recursos do Firebase e back-ends personalizados, exigindo que as chamadas de API contenham um token válido do Firebase App Check. Esses dois conceitos funcionam juntos para ajudar a proteger seu aplicativo.
Cotas e limites
O uso do App Check está sujeito às cotas e limites dos provedores de certificação que você usa.
O acesso ao DeviceCheck e ao App Attest está sujeito a quaisquer cotas ou limitações definidas pela Apple.
O Play Integrity tem uma cota diária de 10.000 chamadas para seu nível de uso de API padrão. Para obter informações sobre como aumentar seu nível de uso, consulte a documentação do Play Integrity .
SafetyNet tem uma cota diária de 10.000 ligações. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação do SafetyNet .
O reCAPTCHA Enterprise é gratuito para 1 milhão de chamadas por mês e com custo superior a isso. Consulte preços do reCAPTCHA Enterprise .
iniciar
Pronto para começar?
Plataformas Apple
Atestado de aplicativo DeviceCheck
Android
Rede
Vibração
C++
Unidade
Saiba como implementar um provedor personalizado do App Check:
Saiba como usar o App Check para proteger seus recursos de back-end que não são do Firebase: