Firebase App Check
App Check pomaga chronić backendy aplikacji przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów backendu. Działa z usługami Google (w tym z usługami Firebase i Google Cloud usługami) i własnymi backendami niestandardowymi, aby chronić Twoje zasoby.
Dzięki App Check urządzenia, na których działa Twoja aplikacja, będą korzystać z dostawcy potwierdzenia aplikacji lub urządzenia , który potwierdzi co najmniej jedną z tych rzeczy:
- Żądania pochodzą z Twojej autentycznej aplikacji.
- Żądania pochodzą z autentycznego, niezmodyfikowanego urządzenia.
To potwierdzenie jest dołączane do każdego żądania, które Twoja aplikacja wysyła do określonych przez Ciebie interfejsów API. Gdy włączysz wymuszanie App Check, żądania od klientów bez prawidłowego potwierdzenia zostaną odrzucone. Odrzucone zostaną też wszystkie żądania pochodzące z aplikacji lub platformy, na których używanie nie masz zezwolenia.
App Check ma wbudowaną obsługę korzystania z tych usług jako dostawców potwierdzenia:
- DeviceCheck lub App Attest na platformach Apple
- Play Integrity na Androidzie
- reCAPTCHA Enterprise w aplikacjach internetowych.
Jeśli te usługi nie spełniają Twoich potrzeb, możesz też wdrożyć własną usługę, która korzysta z dostawcy potwierdzenia innej firmy lub z własnych technik potwierdzania.
App Check działa z tymi usługami Google:
| Obsługiwane usługi Firebase i Google Cloud |
|---|
| Firebase Authentication (wersja zapoznawcza) |
| Firebase SQL Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (tylko funkcje wywoływane) |
| Firebase AI Logic |
| Obsługiwane usługi Google Maps Platform |
| Maps JavaScript API (wersja zapoznawcza) |
| Places API (nowe) (wersja zapoznawcza) |
| Inne obsługiwane usługi Google |
| Google Identity na iOS |
Sprawdzanie aplikacji możesz też używać do ochrony zasobów backendu niestandardowego, które nie należą do Google, np. własnego backendu hostowanego samodzielnie.App Check
Jak to działa?
Gdy włączysz App Check w przypadku usługi i dodasz pakiet SDK klienta do swojej aplikacji, okresowo będą wykonywane te czynności:
- Twoja aplikacja wchodzi w interakcję z wybranym przez Ciebie dostawcą, aby uzyskać atest autentyczności aplikacji lub urządzenia (albo obu tych rzeczy, w zależności od dostawcy).
- Potwierdzenie jest wysyłane na serwer App Check, który weryfikuje ważność potwierdzenia za pomocą parametrów zarejestrowanych w aplikacji i zwraca do aplikacji token App Check z czasem ważności. Ten token może zachowywać pewne informacje o zweryfikowanym materiale potwierdzającym.
- Pakiet SDK klienta App Check zapisuje token w pamięci podręcznej aplikacji, aby można go było wysłać razem z każdym żądaniem, które aplikacja wysyła do chronionych usług.
Usługa chroniona przez App Check akceptuje tylko żądania, którym towarzyszy aktualny, prawidłowy token App Check.
Jak silne jest zabezpieczenie zapewniane przez App Check?
App Check opiera się na sile dostawców potwierdzenia, aby określić autentyczność aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim, wektorom nadużyć skierowanym na Twoje backendy. Korzystanie z App Check nie gwarantuje wyeliminowania wszystkich nadużyć, ale dzięki integracji z App Check robisz ważny krok w kierunku ochrony przed nadużyciami w przypadku zasobów backendu.
Jak App Check jest powiązane z Firebase Authentication?
App Check i Firebase Authentication to uzupełniające się elementy zabezpieczeń aplikacji Firebase Authentication zapewnia uwierzytelnianie użytkowników, które chroni Twoich użytkowników, a App Check zapewnia potwierdzenie autentyczności aplikacji lub urządzenia, które chroni Ciebie jako dewelopera. App Check chroni dostęp do zasobów backendu Google i backendów niestandardowych, wymagając, aby wywołania interfejsu API zawierały prawidłowy App Check token. Te 2 koncepcje współpracują ze sobą, aby pomóc w zabezpieczeniu aplikacji.
Limity
Korzystanie ze sprawdzania aplikacji podlega limitom dostawców potwierdzenia, z których korzystasz.App Check
Dostęp do DeviceCheck i App Attest podlega limitom i ograniczeniom określonym przez Apple.
Play Integrity ma dzienny limit 10 tys. wywołań w przypadku standardowego poziomu wykorzystania interfejsu API. Więcej informacji o zwiększaniu poziomu wykorzystania znajdziesz w dokumentacji Play Integrity.
reCAPTCHA Enterprise jest bezpłatna w przypadku 10 tys. ocen miesięcznie, a po przekroczeniu tego limitu jest płatna. Zobacz cennik reCAPTCHA.
Ponadto usługa App Check ma limity dotyczące liczby żądań, które będzie obsługiwać z jednego projektu. Limity te nie są jednak zwykle wyczerpywane podczas normalnego użytkowania. Jeśli przewidujesz, że ruch może przekroczyć te limity, skontaktuj się z zespołem pomocy Firebase i poproś o ich zwiększenie.
Rozpocznij
Chcesz rozpocząć?
Platformy Apple
Android
Sieć
Flutter
Unity
C++
Dowiedz się, jak wdrożyć niestandardowego dostawcę App Check
Dowiedz się, jak używać App Check do ochrony zasobów backendu niestandardowego
Wybierz platformę:
iOS+ Android Sieć Flutter Unity C++