Firebase App Check
App Check schützt Ihre App-Back-Ends vor Missbrauch, indem verhindert wird, dass nicht autorisierte Clients auf Ihre Back-End-Ressourcen zugreifen. Der Dienst funktioniert sowohl mit Google-Diensten (einschließlich Firebase und Google Cloud Diensten) als auch mit Ihren eigenen benutzerdefinierten Back-Ends, um Ihre Ressourcen zu schützen.
Mit App Check verwenden Geräte, auf denen Ihre App ausgeführt wird, einen App- oder Geräte-Attestierungsanbieter, der Folgendes bestätigt:
- Anfragen stammen von Ihrer authentischen App
- Anfragen stammen von einem authentischen, nicht manipulierten Gerät
Diese Attestierung wird an jede Anfrage angehängt, die Ihre App an die von Ihnen angegebenen APIs sendet. Wenn Sie die App Check Erzwingung aktivieren, werden Anfragen von Clients ohne gültige Attestierung abgelehnt. Das gilt auch für Anfragen, die von einer App oder Plattform stammen, die Sie nicht autorisiert haben.
App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Attestierungsanbieter:
- DeviceCheck oder App Attest auf Apple-Plattformen
- Play Integrity auf Android
- reCAPTCHA Enterprise für Web-Apps
Wenn diese Dienste Ihren Anforderungen nicht genügen, können Sie auch einen eigenen Dienst implementieren, der entweder einen Attestierungsanbieter eines Drittanbieters oder Ihre eigenen Attestierungstechniken verwendet.
App Check funktioniert mit den folgenden Google-Diensten:
| Unterstützte Firebase- und Google Cloud-Dienste |
|---|
| Firebase Authentication (Vorschau) |
| Firebase SQL Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (nur aufrufbare Funktionen) |
| Firebase AI Logic |
| Unterstützte Google Maps Platform-Dienste |
| Maps JavaScript API (Vorschau) |
| Places API (neu) (Vorschau) |
| Andere unterstützte Google-Dienste |
| Google Identity für iOS |
Sie können App Check auch verwenden, um Ihre benutzerdefinierten Back-End- Ressourcen zu schützen, die nicht von Google stammen, z. B. Ihr eigenes selbst gehostetes Back-End.
Funktionsweise
Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einbinden, geschieht Folgendes regelmäßig:
- Ihre App interagiert mit dem Bereitsteller Ihrer Wahl, um eine Attestierung der Authentizität der App oder des Geräts zu erhalten (oder beider, je nach Bereitsteller).
- Die Attestierung wird an den App Check Server gesendet, der die Gültigkeit der Attestierung anhand der für die App registrierten Parameter überprüft und ein App Check Token mit einer Ablaufzeit an Ihre App zurückgibt. Dieses Token kann einige Informationen zum überprüften Bestätigungsmaterial enthalten.
- Das App Check Client-SDK speichert das Token in Ihrer App im Cache, damit es mit allen Anfragen gesendet werden kann, die Ihre App an geschützte Dienste sendet.
Ein durch App Check geschützter Dienst akzeptiert nur Anfragen, die ein aktuelles, gültiges App Check-Token enthalten.
Wie sicher ist App Check?
App Check stützt sich auf die Stärke der Attestierungsanbieter, um die Authentizität von Apps oder Geräten zu bestimmen. Der Dienst verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Back-Ends gerichtet sind. Die Verwendung von App Check garantiert nicht die Beseitigung aller Missbrauchsfälle. Durch die Integration von App Check unternehmen Sie jedoch einen wichtigen Schritt zum Schutz Ihrer Back-End-Ressourcen vor Missbrauch.
Wie hängt App Check mit Firebase Authentication zusammen?
App Check und Firebase Authentication sind ergänzende Bestandteile Ihrer App-Sicherheits strategie. Firebase Authentication bietet die Nutzerauthentifizierung, die Ihre Nutzer schützt, während App Check die Authentizität von Apps oder Geräten bestätigt, was Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Google Back-End-Ressourcen und benutzerdefinierten Back-Ends, indem er erfordert, dass API-Aufrufe ein gültiges App Check Token enthalten. Diese beiden Konzepte arbeiten zusammen, um Ihre App zu schützen.
Kontingente und Limits
Für die Verwendung von App Check gelten die Kontingente und Limits der von Ihnen verwendeten Attestierungs anbieter.
Für den Zugriff auf DeviceCheck und App Attest gelten alle von Apple festgelegten Kontingente oder Einschränkungen.
Play Integrity hat ein Tageskontingent von 10.000 Aufrufen für die Standardnutzungsstufe der API. Informationen zum Erhöhen Ihrer Nutzungsstufe finden Sie in der Play Integrity-Dokumentation.
reCAPTCHA Enterprise ist für 10.000 Bewertungen pro Monat kostenlos. Danach fallen Kosten an. Weitere Informationen finden Sie unter reCAPTCHA Enterprise-Preise.
Außerdem gelten für den App Check Dienst Kontingente für die Anzahl der Anfragen, die er von einem einzelnen Projekt verarbeitet. Diese Kontingente werden jedoch in der Regel durch die normale Nutzung nicht ausgeschöpft. Wenn Ihr Traffic-Volumen diese Kontingente voraussichtlich überschreiten wird, wenden Sie sich an den Firebase-Support um eine Erhöhung anzufordern.
Jetzt starten
Startbereit?
Apple-Plattformen
Android
Web
Flutter
Unity
C++
Benutzerdefinierten App Check Anbieter implementieren
Benutzerdefinierte Back-End-Ressourcen mit App Check schützen
Plattform auswählen:
iOS+ Android Web Flutter Unity C++