Firebase-App-Check
App Check trägt dazu bei, Ihre API-Ressourcen vor Missbrauch zu schützen, indem es verhindert, dass nicht autorisierte Clients auf Ihre Backend-Ressourcen zugreifen. Es funktioniert sowohl mit Firebase-Diensten als auch mit Google Cloud-Diensten und Ihren eigenen APIs, um Ihre Ressourcen zu schützen.
Mit App Check verwenden Geräte, auf denen Ihre App ausgeführt wird, einen App- oder Gerätebescheinigungsanbieter, der eines oder beide der folgenden Elemente bescheinigt:
- Anfragen stammen von Ihrer authentischen App
- Anfragen stammen von einem authentischen, unverfälschten Gerät
Diese Bescheinigung wird jeder Anfrage Ihrer App an die von Ihnen angegebenen APIs beigefügt. Wenn Sie die App-Check-Erzwingung aktivieren, werden Anfragen von Clients ohne gültige Bescheinigung abgelehnt, ebenso wie alle Anfragen, die von einer App oder Plattform stammen, die Sie nicht autorisiert haben.
App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Nachweisanbieter:
- DeviceCheck oder App Attest auf Apple-Plattformen
- Spielen Sie Integrity oder SafetyNet (veraltet) auf Android
- reCAPTCHA Enterprise für Web-Apps.
Wenn diese für Ihre Anforderungen nicht ausreichen, können Sie auch Ihren eigenen Dienst implementieren, der entweder einen externen Nachweisanbieter oder Ihre eigenen Nachweistechniken verwendet.
App Check funktioniert derzeit mit den folgenden Firebase-Produkten:
| Unterstützte Firebase-Produkte |
|---|
| Echtzeitdatenbank |
| Cloud Firestore |
| Cloud-Speicher |
| Cloud-Funktionen (aufrufbare Funktionen) |
| Authentifizierung (Beta; erfordert Upgrade auf Firebase-Authentifizierung mit Identity Platform ) |
Sie können App Check auch verwenden, um Ihre Nicht-Firebase-Backend-Ressourcen zu schützen.
Bereit anzufangen?
Wie funktioniert es?
Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einschließen, geschieht Folgendes regelmäßig:
- Ihre App interagiert mit dem Anbieter Ihrer Wahl, um eine Bestätigung der Authentizität der App oder des Geräts (oder beider, je nach Anbieter) zu erhalten.
- Die Bescheinigung wird an den App Check-Server gesendet, der die Gültigkeit der Bescheinigung anhand der bei der App registrierten Parameter überprüft und ein App Check-Token mit einer Ablaufzeit an Ihre App zurücksendet. Dieses Token enthält möglicherweise einige Informationen über das von ihm überprüfte Bescheinigungsmaterial.
- Das App Check-Client-SDK speichert das Token in Ihrer App zwischen, damit es zusammen mit allen Anfragen Ihrer App an geschützte Dienste gesendet werden kann.
Ein durch App Check geschützter Dienst akzeptiert nur Anfragen mit einem aktuellen, gültigen App Check-Token.
Wie hoch ist die Sicherheit, die App Check bietet?
App Check verlässt sich bei der Bestimmung der App- oder Geräteauthentizität auf die Stärke seiner Zertifizierungsanbieter. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die sich gegen Ihre Backends richten. Die Verwendung von App Check garantiert nicht die Eliminierung jeglichen Missbrauchs, aber durch die Integration mit App Check machen Sie einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.
Wie hängt App Check mit der Firebase-Authentifizierung zusammen?
App Check und Firebase-Authentifizierung sind ergänzende Teile Ihrer App-Sicherheitsgeschichte. Die Firebase-Authentifizierung bietet eine Benutzerauthentifizierung, die Ihre Benutzer schützt, während App Check eine Bescheinigung der App- oder Geräteauthentizität bereitstellt, die Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Firebase-Ressourcen und benutzerdefinierten Backends, indem API-Aufrufe ein gültiges Firebase App Check-Token enthalten müssen. Diese beiden Konzepte wirken zusammen, um Ihre App zu schützen.
Quoten und Limits
Ihre Nutzung von App Check unterliegt den Kontingenten und Beschränkungen der von Ihnen genutzten Attestierungsanbieter.
Der Zugriff auf DeviceCheck und App Attest unterliegt den von Apple festgelegten Kontingenten oder Einschränkungen.
Play Integrity hat ein tägliches Kontingent von 10.000 Aufrufen für seine Standard-API-Nutzungsstufe. Informationen zum Erhöhen Ihrer Nutzungsstufe finden Sie in der Play Integrity-Dokumentation .
SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Informationen zur Beantragung einer Kontingenterhöhung finden Sie in der SafetyNet-Dokumentation .
reCAPTCHA Enterprise ist für 1 Million Anrufe pro Monat kostenlos und darüber hinaus kostenpflichtig. Siehe reCAPTCHA Enterprise-Preise .
Loslegen
Bereit anzufangen?
Apple-Plattformen
Android
Netz
Flattern
C++
Einheit
Erfahren Sie, wie Sie einen benutzerdefinierten App Check-Anbieter implementieren:
Erfahren Sie, wie Sie App Check verwenden, um Ihre Nicht-Firebase-Backend-Ressourcen zu schützen: