Firebase-App-Check
App Check schützt Ihre API-Ressourcen vor Missbrauch, indem verhindert wird, dass nicht autorisierte Clients auf Ihre Back-End-Ressourcen zugreifen. Es funktioniert sowohl mit Firebase-Diensten, Google Cloud-Diensten als auch mit Ihren eigenen APIs, um Ihre Ressourcen zu schützen.
Mit App Check verwenden Geräte, auf denen Ihre App ausgeführt wird, einen App- oder Gerätenachweisanbieter, der eines oder beide der folgenden Elemente bestätigt:
- Anfragen stammen von Ihrer authentischen App
- Anfragen stammen von einem authentischen, nicht manipulierten Gerät
Diese Bescheinigung wird jeder Anfrage angehängt, die Ihre App an die von Ihnen angegebenen APIs sendet. Wenn Sie die App-Check-Erzwingung aktivieren, werden Anfragen von Clients ohne gültige Bescheinigung abgelehnt, ebenso wie alle Anfragen, die von einer App oder Plattform stammen, die Sie nicht autorisiert haben.
App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Beglaubigungsanbieter:
- DeviceCheck oder App Attest auf Apple-Plattformen
- Spielen Sie Integrity oder SafetyNet (veraltet) auf Android
- reCAPTCHA v3 oder reCAPTCHA Enterprise für Web-Apps
Wenn diese für Ihre Anforderungen nicht ausreichen, können Sie auch Ihren eigenen Dienst implementieren, der entweder einen Bestätigungsanbieter eines Drittanbieters oder Ihre eigenen Bestätigungstechniken verwendet.
App Check funktioniert derzeit mit den folgenden Firebase-Produkten:
| Unterstützte Firebase-Produkte |
|---|
| Echtzeit-Datenbank |
| Cloud-Firestore |
| Cloud-Speicher |
| Cloud-Funktionen (aufrufbare Funktionen) |
| Authentifizierung (Beta; Upgrade auf Firebase-Authentifizierung mit Identity Platform erforderlich) |
Sie können App Check auch verwenden, um Ihre Nicht-Firebase-Back-End-Ressourcen zu schützen.
Bereit anzufangen?
Wie funktioniert es?
Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einschließen, geschieht regelmäßig Folgendes:
- Ihre App interagiert mit dem Anbieter Ihrer Wahl, um eine Bestätigung der Authentizität der App oder des Geräts (oder beider, je nach Anbieter) zu erhalten.
- Die Beglaubigung wird an den App Check-Server gesendet, der die Gültigkeit der Beglaubigung anhand von bei der App registrierten Parametern überprüft und ein App Check-Token mit einer Ablaufzeit an Ihre App zurücksendet. Dieses Token enthält möglicherweise einige Informationen über das Beglaubigungsmaterial, das es verifiziert hat.
- Das App Check-Client-SDK speichert das Token in Ihrer App, sodass es zusammen mit allen Anfragen Ihrer App an geschützte Dienste gesendet werden kann.
Ein durch App Check geschützter Dienst akzeptiert nur Anfragen, die von einem aktuellen, gültigen App Check-Token begleitet werden.
Wie stark ist die Sicherheit von App Check?
App Check verlässt sich auf die Stärke seiner Beglaubigungsanbieter, um die App- oder Geräteauthentizität zu bestimmen. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Backends gerichtet sind. Die Verwendung von App Check garantiert nicht die Beseitigung jeglichen Missbrauchs, aber durch die Integration mit App Check machen Sie einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.
In welcher Beziehung steht App Check zur Firebase-Authentifizierung?
App Check und Firebase Authentication sind komplementäre Teile Ihrer App-Sicherheitsgeschichte. Die Firebase-Authentifizierung bietet eine Benutzerauthentifizierung, die Ihre Benutzer schützt, während App Check eine Bestätigung der App- oder Geräteauthentizität bietet, die Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Firebase-Ressourcen und benutzerdefinierten Back-Ends, indem API-Aufrufe ein gültiges Firebase App Check-Token enthalten müssen. Diese beiden Konzepte arbeiten zusammen, um Ihre App zu sichern.
Quoten & Limits
Ihre Nutzung von App Check unterliegt den Kontingenten und Beschränkungen der von Ihnen verwendeten Beglaubigungsanbieter.
Der Zugriff auf DeviceCheck und App Attest unterliegt allen von Apple festgelegten Kontingenten oder Einschränkungen.
Play Integrity hat ein tägliches Kontingent von 10.000 Aufrufen für seine Standard-API-Nutzungsstufe. Informationen zum Erhöhen Ihrer Nutzungsstufe finden Sie in der Play Integrity-Dokumentation .
SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Informationen zum Anfordern einer Kontingenterhöhung finden Sie in der SafetyNet-Dokumentation .
reCAPTCHA v3 hat ein monatliches Kontingent von 1 Million Aufrufen sowie ein Limit von 1.000 QPS. Informationen zum Anfordern einer Kontingenterhöhung finden Sie in der reCAPTCHA-Dokumentation .
reCAPTCHA Enterprise ist für 1 Million Aufrufe pro Monat kostenlos und darüber hinaus kostenpflichtig. Siehe reCAPTCHA Enterprise-Preise .
Loslegen
Bereit anzufangen?
Apple-Plattformen
Android
Netz
reCAPTCHA v3 reCAPTCHA Enterprise
Flattern
C++
Einheit
Erfahren Sie, wie Sie einen benutzerdefinierten App Check-Anbieter implementieren:
Erfahren Sie, wie Sie mit App Check Ihre Nicht-Firebase-Back-End-Ressourcen schützen: