Firebase App Check
App Check помогает защитить бэкэнд вашего приложения от злоупотреблений, предотвращая несанкционированный доступ клиентов к ресурсам бэкэнда. Он работает как с сервисами Google (включая Firebase и сервисы Google Cloud ), так и с вашими собственными пользовательскими бэкэндами, обеспечивая безопасность ваших ресурсов.
С помощью App Check устройства, на которых работает ваше приложение, будут использовать поставщика аттестации приложений или устройств, который подтверждает соответствие одному или обоим из следующих пунктов:
- Запросы поступают из вашего подлинного приложения.
- Запросы поступают с подлинного, не подвергавшегося модификациям устройства.
Это подтверждение прикрепляется к каждому запросу, который ваше приложение отправляет к указанным вами API. При включении проверки App Check ) запросы от клиентов без действительного подтверждения будут отклонены, как и любые запросы, исходящие от приложения или платформы, которые вы не авторизовали.
App Check имеет встроенную поддержку использования следующих сервисов в качестве поставщиков аттестации:
- На платформах Apple доступны функции DeviceCheck или App Attest.
- Играйте в честность на Android
- reCAPTCHA Enterprise в веб-приложениях.
Если этих вариантов недостаточно для ваших нужд, вы также можете реализовать собственный сервис, использующий либо стороннего поставщика услуг аттестации, либо собственные методы аттестации.
App Check работает со следующими сервисами Google:
| Поддерживаемые сервисы Firebase и Google Cloud. |
|---|
| Firebase Authentication (предварительная версия) |
| Firebase SQL Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (только вызываемые функции) |
| Firebase AI Logic |
| Поддерживаемые сервисы платформы Google Maps |
| API карт на JavaScript (предварительная версия) |
| API для работы с местами (новый) (предварительная версия) |
| Другие поддерживаемые сервисы Google |
| Google Identity для iOS |
Вы также можете использовать App Check для защиты своих сторонних пользовательских серверных ресурсов, например, собственного серверного приложения, размещенного на вашем собственном сервере.
Как это работает?
Когда вы включаете App Check для службы и добавляете клиентский SDK в свое приложение, периодически происходит следующее:
- Ваше приложение взаимодействует с выбранным вами поставщиком для получения подтверждения подлинности приложения или устройства (или обоих, в зависимости от поставщика).
- Аттестация отправляется на сервер App Check , который проверяет ее действительность, используя параметры, зарегистрированные в приложении, и возвращает вашему приложению токен App Check со сроком действия. Этот токен может содержать некоторую информацию о проверенных материалах аттестации.
- SDK клиента App Check кэширует токен в вашем приложении, готовый к отправке вместе с любыми запросами, которые ваше приложение отправляет к защищенным сервисам.
Сервис, защищенный с помощью App Check принимает запросы только в сопровождении действующего токена App Check .
Насколько надёжна защита, обеспечиваемая App Check ?
App Check использует надежность своих поставщиков аттестации для определения подлинности приложений или устройств. Он предотвращает некоторые, но не все, способы злоупотребления, направленные на ваши бэкэнды. Использование App Check не гарантирует полного устранения злоупотреблений, но интеграция с App Check — это важный шаг к защите ваших бэкэнд-ресурсов от злоупотреблений.
Как App Check связан с Firebase Authentication ?
App Check и Firebase Authentication — взаимодополняющие элементы системы безопасности вашего приложения. Firebase Authentication обеспечивает аутентификацию пользователей, защищая их, а App Check — подтверждение подлинности приложения или устройства, защищая вас, разработчика. App Check защищает доступ к ресурсам вашей серверной части Google и пользовательским серверным частям, требуя, чтобы вызовы API содержали действительный токен App Check . Эти два понятия работают вместе, помогая обеспечить безопасность вашего приложения.
Квоты и лимиты
Использование вами сервиса App Check ограничено квотами и лимитами поставщиков услуг аттестации, которыми вы пользуетесь.
Доступ к DeviceCheck и App Attest ограничен квотами и лимитами, установленными Apple.
Для стандартного уровня использования API Play Integrity установлен лимит в 10 000 вызовов в день. Информацию о повышении уровня использования см. в документации Play Integrity .
Сервис reCAPTCHA Enterprise предоставляется бесплатно при проведении 10 000 тестов в месяц, за превышение этого лимита взимается плата. См. цены на reCAPTCHA .
Кроме того, сервис App Check имеет квоты на объем запросов, обрабатываемых одним проектом; однако эти квоты, как правило, не исчерпываются при обычном использовании. Если ожидается, что объем вашего трафика превысит эти квоты, обратитесь в службу поддержки Firebase с просьбой об их увеличении.
Начните
Готовы начать?
платформы Apple
Приложение DeviceCheck App Attest
Android
Веб
Порхание
Единство
C++
Узнайте, как реализовать собственный поставщик App Check .
Поставщики услуг по индивидуальному заказу
Узнайте, как использовать App Check для защиты ваших пользовательских серверных ресурсов.
Выберите свою платформу:
iOS+ Android Web Flutter Unity C++