Firebase App Check
App Check ช่วยปกป้องแบ็กเอนด์ของแอปจากการละเมิดโดยการป้องกัน ไคลเอ็นต์ที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงทรัพยากรแบ็กเอนด์ของคุณ ซึ่งทำงานร่วมกับทั้งบริการของ Google (รวมถึงบริการ Firebase และ Google Cloud) และแบ็กเอนด์ของคุณเองเพื่อรักษาทรัพยากรให้ปลอดภัย
เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปของคุณจะใช้ผู้ให้บริการรับรองแอปหรืออุปกรณ์ที่รับรองข้อใดข้อหนึ่งหรือทั้ง 2 ข้อต่อไปนี้
- คำขอมาจากแอปที่ถูกต้อง
- คำขอมาจากอุปกรณ์ที่ถูกต้องและไม่มีการดัดแปลง
เอกสารรับรองนี้แนบอยู่กับทุกคำขอที่แอปของคุณสร้างขึ้นกับ API ที่คุณ ระบุ เมื่อคุณเปิดใช้App Checkการบังคับใช้ ระบบจะปฏิเสธคําขอจากไคลเอ็นต์ที่ไม่มีการตรวจสอบสิทธิ์ที่ถูกต้อง รวมถึงคําขอที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้ให้สิทธิ์
App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้เป็นผู้ให้บริการรับรอง
- DeviceCheck หรือ App Attest ในแพลตฟอร์ม Apple
- Play Integrity ใน Android
- reCAPTCHA Enterprise ในเว็บแอป
หากสิ่งเหล่านี้ไม่เพียงพอสำหรับความต้องการของคุณ คุณสามารถใช้ บริการที่ใช้ผู้ให้บริการเอกสารรับรองบุคคลที่สามหรือของคุณเอง ของการรับรอง
App Check ทำงานร่วมกับบริการของ Google ต่อไปนี้
| บริการของ Google ที่รองรับ |
|---|
| Firebase Data Connect (เวอร์ชันตัวอย่าง) |
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (ฟังก์ชันที่เรียกใช้ได้) |
| Authentication (เบต้า ต้องอัปเกรดเป็น Firebase Authentication with Identity Platform) |
| Google Identity สำหรับ iOS (เบต้า) |
| Vertex AI in Firebase (เวอร์ชันตัวอย่าง) |
คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google ได้ด้วย
วิธีการทำงาน
เมื่อคุณเปิดใช้ App Check สำหรับบริการและรวม SDK ของไคลเอ็นต์ กับแอปของคุณ สิ่งต่อไปนี้จะเกิดขึ้นเป็นระยะๆ
- แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อขอรับเอกสารรับรอง ความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้ง 2 อย่าง ขึ้นอยู่กับผู้ให้บริการ)
- ระบบจะส่งเอกสารรับรองไปยังเซิร์ฟเวอร์ App Check ซึ่งจะยืนยัน ความถูกต้องของเอกสารรับรองโดยใช้พารามิเตอร์ที่บันทึกไว้กับแอป และ จะแสดงโทเค็น App Check พร้อมเวลาหมดอายุที่แอปของคุณ ช่วงเวลานี้ แต่โทเค็นอาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรอง ยืนยันแล้ว
- SDK ไคลเอ็นต์ App Check จะแคชโทเค็นไว้ในแอปของคุณ พร้อมที่จะส่งพร้อมกับคำขอทั้งหมดที่แอปส่งไปยังบริการที่ได้รับการปกป้อง
บริการที่ได้รับการคุ้มครองโดย App Check จะยอมรับคำขอที่ทำงานควบคู่ไปด้วยเท่านั้น ตามโทเค็น App Check ที่ถูกต้องในปัจจุบัน
App Check มีการรักษาความปลอดภัยที่เข้มงวดเพียงใด
App Check อาศัยความรัดกุมของผู้ให้บริการเอกสารรับรองเพื่อพิจารณา ความถูกต้องของแอปหรืออุปกรณ์ ช่วยป้องกันเวกเตอร์การละเมิดบางประเภท ไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่า การขจัดการละเมิดทั้งหมด แต่เมื่อผสานรวมกับ App Check ขั้นตอนสำคัญในการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์
App Check เกี่ยวข้องกับ Firebase Authentication อย่างไร
App Check และ Firebase Authentication เป็นส่วนส่งเสริมการรักษาความปลอดภัยของแอป เรื่องราวของคุณ Firebase Authentication มีการตรวจสอบสิทธิ์ผู้ใช้ ซึ่งช่วยปกป้อง แต่ App Check จะให้เอกสารรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งเป็นการปกป้องคุณ ซึ่งเป็นนักพัฒนาซอฟต์แวร์ App Check จะปกป้องการเข้าถึงทรัพยากรแบ็กเอนด์ของ Google และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API ต้องมีโทเค็น App Check ที่ถูกต้อง แนวคิดทั้งสองนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอปของคุณ
โควต้าและขีดจำกัด
การใช้ App Check ของคุณอยู่ภายใต้โควต้าและขีดจํากัดของผู้ให้บริการการรับรองที่คุณใช้
การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดที่ Apple กำหนด
Play Integrity มีโควต้าการเรียกใช้ 10,000 ครั้งต่อวันสำหรับการใช้งาน API ระดับมาตรฐาน สำหรับข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งาน โปรดดูที่ ดูเอกสารประกอบของ Play Integrity
SafetyNet มีโควต้าการโทร 10,000 ครั้งต่อวัน สำหรับข้อมูลเกี่ยวกับการส่งคำขอ การเพิ่มโควต้า โปรดดูเอกสาร SafetyNet
reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการประเมิน 10,000 ครั้งต่อเดือน และจะมีค่าใช้จ่ายเพิ่มเติมหลังจากนั้น ดูราคา reCAPTCHA
เริ่มต้นใช้งาน
หากพร้อมที่จะเริ่มแล้ว
แพลตฟอร์ม Apple
Android
เว็บ
Flutter
C++
Unity
ดูวิธีใช้ผู้ให้บริการ App Check ที่กำหนดเอง
ดูวิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google
เลือกแพลตฟอร์มของคุณ