Verificación de la aplicación Firebase

App Check ayuda a proteger sus recursos API contra abusos al evitar que clientes no autorizados accedan a sus recursos backend. Funciona con los servicios de Firebase, los servicios de Google Cloud y sus propias API para mantener sus recursos seguros.

Con App Check, los dispositivos que ejecutan su aplicación utilizarán una aplicación o un proveedor de certificación de dispositivo que certifica uno o ambos de los siguientes:

  • Las solicitudes se originan en su aplicación auténtica
  • Las solicitudes se originan en un dispositivo auténtico y no manipulado.

Esta certificación se adjunta a cada solicitud que realiza su aplicación a las API que especifica. Cuando habilitas la aplicación de App Check, las solicitudes de clientes sin una certificación válida serán rechazadas, al igual que cualquier solicitud que se origine en una aplicación o plataforma que no hayas autorizado.

App Check tiene soporte integrado para usar los siguientes servicios como proveedores de certificación:

Si estos no son suficientes para sus necesidades, también puede implementar su propio servicio que utilice un proveedor de certificación externo o sus propias técnicas de certificación.

App Check actualmente funciona con los siguientes productos de Firebase:

Productos de Firebase compatibles
Base de datos en tiempo real
Tienda de fuego en la nube
Almacenamiento en la nube
Funciones en la nube (funciones invocables)
Autenticación (beta; requiere actualización a Firebase Authentication con Identity Platform )

También puedes usar App Check para proteger tus recursos backend que no son de Firebase.

¿Listo para comenzar?

Empezar

¿Como funciona?

Cuando habilita App Check para un servicio e incluye el SDK del cliente en su aplicación, sucede lo siguiente periódicamente:

  1. Su aplicación interactúa con el proveedor de su elección para obtener una certificación de la autenticidad de la aplicación o del dispositivo (o ambos, según el proveedor).
  2. La certificación se envía al servidor App Check, que verifica la validez de la certificación utilizando los parámetros registrados con la aplicación y devuelve a su aplicación un token de App Check con un tiempo de vencimiento. Este token puede conservar cierta información sobre el material de certificación que verificó.
  3. El SDK del cliente App Check almacena en caché el token en su aplicación, listo para ser enviado junto con cualquier solicitud que su aplicación realice a servicios protegidos.

Un servicio protegido por App Check solo acepta solicitudes acompañadas de un token de App Check vigente y válido.

¿Qué tan fuerte es la seguridad proporcionada por App Check?

App Check confía en la solidez de sus proveedores de certificación para determinar la autenticidad de la aplicación o el dispositivo. Previene algunos, pero no todos, los vectores de abuso dirigidos hacia sus backends. El uso de App Check no garantiza la eliminación de todos los abusos, pero al integrarse con App Check, está dando un paso importante hacia la protección contra abusos para sus recursos de backend.

App Check y Firebase Authentication son partes complementarias de la historia de seguridad de su aplicación. Firebase Authentication proporciona autenticación de usuario, lo que protege a sus usuarios, mientras que App Check proporciona certificación de la autenticidad de la aplicación o dispositivo, lo que lo protege a usted, el desarrollador. App Check protege el acceso a sus recursos de Firebase y backends personalizados al requerir que las llamadas API contengan un token válido de Firebase App Check. Estos dos conceptos trabajan juntos para ayudar a proteger su aplicación.

Cuotas y límites

Su uso de App Check está sujeto a las cuotas y límites de los proveedores de certificación que utiliza.

  • El acceso a DeviceCheck y App Attest está sujeto a cualquier cuota o limitación establecida por Apple.

  • Play Integrity tiene una cuota diaria de 10 000 llamadas para su nivel de uso de API estándar. Para obtener información sobre cómo aumentar su nivel de uso, consulte la documentación de Play Integrity .

  • SafetyNet tiene una cuota diaria de 10.000 llamadas. Para obtener información sobre cómo solicitar un aumento de cuota, consulte la documentación de SafetyNet .

  • reCAPTCHA Enterprise no tiene costo para 1 millón de llamadas por mes y tiene un costo adicional. Consulte los precios de reCAPTCHA Enterprise .

Empezar

¿Listo para comenzar?

plataformas de manzana

Certificación de la aplicación DeviceCheck

Androide

Juega con integridad

Web

Empresa reCAPTCHA

Aleteo

Proveedores predeterminados

C++

Proveedores predeterminados

Unidad

Proveedores predeterminados

Aprenda cómo implementar un proveedor de App Check personalizado:

Proveedores personalizados

Aprenda a usar App Check para proteger sus recursos de backend que no son de Firebase:

Flutter web de iOS+ Android