Firebase App Check
App Check עוזר להגן על הקצה העורפי של האפליקציה מפני ניצול לרעה על ידי מניעת גישה של לקוחות לא מורשים למשאבי הקצה העורפי. הוא פועל עם שירותי Google (כולל Firebase ושירותי Google Cloud) ועם קצה העורפיים המותאם אישית שלכם כדי לשמור על בטיחות המשאבים.
באמצעות App Check, מכשירים שמריצים את האפליקציה שלכם ישתמשו בפלאגין שמתממשק עם שירותים חיצוניים לאימות אפליקציות או מכשירים, שיאמת את אחד מהדברים הבאים או את שניהם:
- הבקשות מגיעות מהאפליקציה המאומתת שלכם
- הבקשות מגיעות ממכשיר מקורי שלא בוצעו בו שינויים
האישור הזה מצורף לכל בקשה שהאפליקציה שולחת לממשקי ה-API שציינתם. כשמפעילים את האכיפה של App Check, בקשות מלקוחות ללא אישור תקף יידחו, וכך גם בקשות שמקורן באפליקציה או בפלטפורמה שלא אישרתם.
App Check כולל תמיכה מובנית בשימוש בשירותים הבאים כספקי אימות:
- DeviceCheck או App Attest בפלטפורמות של אפל
- Play Integrity ב-Android
- reCAPTCHA Enterprise באפליקציות אינטרנט.
אם הפתרונות האלה לא מספיקים לצרכים שלכם, אתם יכולים גם להטמיע שירות משלכם שמשתמש בספק אימות של צד שלישי או בשיטות אימות משלכם.
App Check פועל עם שירותי Google הבאים:
| שירותי Firebase ו-Google Cloud נתמכים |
|---|
| Firebase Authentication (תצוגה מקדימה) |
| Firebase SQL Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (פונקציות שאפשר להפעיל בלבד) |
| Firebase AI Logic |
| שירותים נתמכים של Google Maps Platform |
| Maps JavaScript API (גרסת Preview) |
| Places API (חדש) (תצוגה מקדימה) |
| שירותי Google נתמכים אחרים |
| Google Identity for iOS |
אפשר גם להשתמש ב-App Check כדי להגן על משאבי קצה עורפי בהתאמה אישית שאינם של Google, כמו קצה עורפי באירוח עצמי.
איך זה עובד?
כשמפעילים את App Check בשירות מסוים וכוללים את ה-SDK של הלקוח באפליקציה, מתרחשים מדי פעם הדברים הבאים:
- האפליקציה שלכם מתקשרת עם הספק שתבחרו כדי לקבל אימות (attestation) על האותנטיות של האפליקציה או של המכשיר (או שניהם, בהתאם לספק).
- האימות נשלח לשרת App Check, שמאמת את התוקף של האימות באמצעות פרמטרים שרשומים באפליקציה, ומחזיר לאפליקציה אסימון App Check עם זמן תפוגה. יכול להיות שבטוקן הזה יישמר מידע מסוים על חומר האימות שהוא אימת.
- App Check client SDK שומר את הטוקן במטמון באפליקציה, והוא מוכן לשליחה עם כל בקשה שהאפליקציה שולחת לשירותים מוגנים.
שירות שמוגן על ידי App Check מקבל רק בקשות שמצורף אליהן אסימון App Check תקף ועדכני.
עד כמה האבטחה שמספקת App Check חזקה?
App Check מסתמך על עוצמת ספקי האימות שלו כדי לקבוע את האותנטיות של האפליקציה או המכשיר. היא מונעת חלק מדרכי הניצול לרעה, אבל לא את כולן, שמכוונות אל השרתים העורפיים שלכם. השימוש ב-App Check לא מבטיח את סילוק כל סוגי הניצול לרעה, אבל השילוב עם App Check הוא צעד חשוב להגנה על משאבי הקצה העורפי מפני ניצול לרעה.
מה הקשר בין App Check לבין Firebase Authentication?
App Check ו-Firebase Authentication הם חלקים משלימים בסיפור האבטחה של האפליקציה. Firebase Authentication מספק אימות משתמשים, שמגן על המשתמשים שלכם, ואילו App Check מספק אישור של האותנטיות של האפליקציה או המכשיר, שמגן עליכם, המפתחים. App Check שומר על הגישה למשאבי הקצה העורפי של Google ולבקשות קצה עורפי בהתאמה אישית, בכך שהוא דורש שבקשות API יכילו אסימון App Check תקף. השילוב בין שני המושגים האלה עוזר לאבטח את האפליקציה.
מכסות ומגבלות
השימוש שלכם ב-App Check כפוף למכסות ולמגבלות של ספקי האישורים שבהם אתם משתמשים.
הגישה ל-DeviceCheck ול-App Attest כפופה למכסות או להגבלות שנקבעו על ידי Apple.
ל-Play Integrity יש מכסה יומית של 10,000 קריאות לרמת השימוש הרגילה ב-API. מידע על העלאת רמת השימוש זמין במסמכי התיעוד של Play Integrity.
reCAPTCHA Enterprise לא כרוך בתשלום עבור 10,000 בדיקות בכל חודש, אבל יש עלות מעבר לכך. למחירון של reCAPTCHA
בנוסף, בשירות App Check יש מכסות על נפח הבקשות שהוא יכול לטפל בהן מפרויקט יחיד. עם זאת, בדרך כלל לא מגיעים למכסות האלה בשימוש רגיל. אם צפוי נפח תעבורת נתונים שיעלה על המכסות האלה, פנו לתמיכה של Firebase כדי לבקש הגדלה.
שנתחיל?
שנתחיל?
פלטפורמות של אפל
Android
אינטרנט
Flutter
Unity
C++
איך מטמיעים ספק מותאם אישית של App Check
איך משתמשים ב-App Check כדי להגן על משאבי ה-Backend המותאמים
בוחרים את הפלטפורמה:
iOS+ Android Web Flutter Unity C++