Catch up on everything announced at Firebase Summit, and learn how Firebase can help you accelerate app development and run your app with confidence. Learn More
Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Vérification de l'application Firebase

App Check aide à protéger vos ressources API contre les abus en empêchant les clients non autorisés d'accéder à vos ressources backend. Il fonctionne à la fois avec les services Firebase, les services Google Cloud et vos propres API pour assurer la sécurité de vos ressources.

Avec App Check, les appareils exécutant votre application utiliseront un fournisseur d'attestation d'application ou d'appareil qui atteste l'un ou les deux des éléments suivants :

  • Les demandes proviennent de votre application authentique
  • Les demandes proviennent d'un appareil authentique et non altéré

Cette attestation est jointe à chaque requête que votre application adresse aux API que vous spécifiez. Lorsque vous activez l'application d'App Check, les demandes des clients sans attestation valide seront rejetées, de même que toute demande provenant d'une application ou d'une plate-forme que vous n'avez pas autorisée.

App Check offre une prise en charge intégrée pour l'utilisation des services suivants en tant que fournisseurs d'attestation :

Si ceux-ci ne suffisent pas à vos besoins, vous pouvez également implémenter votre propre service qui utilise soit un fournisseur d'attestation tiers, soit vos propres techniques d'attestation.

App Check fonctionne actuellement avec les produits Firebase suivants :

Produits Firebase compatibles
Base de données en temps réel
Cloud Firestore
Stockage en ligne
Cloud Functions (fonctions appelables)

Vous pouvez également utiliser App Check pour protéger vos ressources backend autres que Firebase.

Prêt à commencer?

Commencer

Comment ça marche?

Lorsque vous activez App Check pour un service et que vous incluez le SDK client dans votre application, les événements suivants se produisent périodiquement :

  1. Votre application interagit avec le fournisseur de votre choix pour obtenir une attestation de l'authenticité de l'application ou de l'appareil (ou les deux, selon le fournisseur).
  2. L'attestation est envoyée au serveur App Check, qui vérifie la validité de l'attestation à l'aide des paramètres enregistrés avec l'application, et renvoie à votre application un jeton App Check avec un délai d'expiration. Ce jeton peut conserver certaines informations sur le matériel d'attestation qu'il a vérifié.
  3. Le SDK client App Check met en cache le jeton dans votre application, prêt à être envoyé avec toutes les demandes que votre application adresse aux services protégés.

Un service protégé par App Check n'accepte que les demandes accompagnées d'un jeton App Check valide et en cours de validité.

Quel est le niveau de sécurité fourni par App Check ?

App Check s'appuie sur la force de ses fournisseurs d'attestation pour déterminer l'authenticité de l'application ou de l'appareil. Il empêche certains vecteurs d'abus, mais pas tous, dirigés vers vos backends. L'utilisation d'App Check ne garantit pas l'élimination de tous les abus, mais en intégrant App Check, vous franchissez une étape importante vers la protection contre les abus pour vos ressources backend.

App Check et Firebase Authentication sont des éléments complémentaires de l'histoire de la sécurité de votre application. Firebase Authentication fournit une authentification utilisateur, qui protège vos utilisateurs, tandis qu'App Check fournit une attestation d'authenticité de l'application ou de l'appareil, qui vous protège, le développeur. App Check protège l'accès à vos ressources Firebase et à vos backends personnalisés en exigeant que les appels d'API contiennent un jeton Firebase App Check valide. Ces deux concepts fonctionnent ensemble pour aider à sécuriser votre application.

Quotas et limites

Votre utilisation d'App Check est soumise aux quotas et aux limites des fournisseurs d'attestation que vous utilisez.

  • L'accès à DeviceCheck et App Attest est soumis à tous les quotas ou limitations définis par Apple.

  • Play Integrity dispose d'un quota quotidien de 10 000 appels pour son niveau d'utilisation de l'API standard. Pour plus d'informations sur l'augmentation de votre niveau d'utilisation, consultez la documentation Play Integrity .

  • SafetyNet a un quota quotidien de 10 000 appels. Pour plus d'informations sur la demande d'augmentation de quota, consultez la documentation SafetyNet .

  • reCAPTCHA v3 a un quota mensuel de 1 million d'appels, ainsi qu'une limite de 1 000 QPS. Pour plus d'informations sur la demande d'augmentation de quota, consultez la documentation reCAPTCHA .

  • reCAPTCHA Enterprise est gratuit pour 1 million d'appels par mois, et payant au-delà. Voir les tarifs de reCAPTCHA Enterprise .

Commencer

Prêt à commencer?

Plateformes Apple

Attestation de l' application DeviceCheck

Android

Intégrité du jeu

la toile

reCAPTCHA v3 reCAPTCHA Entreprise

Battement

Fournisseurs par défaut

Découvrez comment mettre en œuvre un fournisseur App Check personnalisé :

Fournisseurs personnalisés

Découvrez comment utiliser App Check pour protéger vos ressources backend autres que Firebase :

Flutter Web iOS + Android