Sprawdzanie aplikacji Firebase
Sprawdzanie aplikacji pomaga chronić zasoby interfejsu API przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów zaplecza. Działa zarówno z usługami Firebase, usługami Google Cloud, jak i twoimi własnymi interfejsami API, aby chronić twoje zasoby.
Dzięki Sprawdzaniu aplikacji urządzenia, na których działa Twoja aplikacja, będą korzystać z aplikacji lub dostawcy atestów urządzeń, który poświadcza co najmniej jeden z następujących elementów:
- Żądania pochodzą z Twojej autentycznej aplikacji
- Żądania pochodzą z autentycznego, nienaruszonego urządzenia
To zaświadczenie jest dołączane do każdego żądania kierowanego przez Twoją aplikację do określonych przez Ciebie interfejsów API. Gdy włączysz wymuszanie sprawdzania aplikacji, żądania od klientów bez ważnego zaświadczenia będą odrzucane, podobnie jak wszelkie żądania pochodzące z aplikacji lub platformy, której nie autoryzowałeś.
Sprawdzanie aplikacji ma wbudowaną obsługę korzystania z następujących usług jako dostawców zaświadczeń:
- DeviceCheck lub App Attest na platformach Apple
- Zagraj w Integrity lub SafetyNet (przestarzałe) na Androida
- reCAPTCHA Enterprise w aplikacjach internetowych.
Jeśli te są niewystarczające dla Twoich potrzeb, możesz również wdrożyć własną usługę, która korzysta z zewnętrznego dostawcy poświadczeń lub własnych technik poświadczania.
Sprawdzanie aplikacji działa obecnie z następującymi produktami Firebase:
| Obsługiwane produkty Firebase |
|---|
| Baza danych czasu rzeczywistego |
| Cloud Firestore |
| Magazyn w chmurze |
| Cloud Functions (funkcje wywoływalne) |
| Uwierzytelnianie (beta; wymaga uaktualnienia do Uwierzytelniania Firebase z Identity Platform ) |
Możesz też użyć Sprawdzania aplikacji, aby chronić zasoby zaplecza inne niż Firebase.
Gotowy żeby zacząć?
Jak to działa?
Gdy włączysz Sprawdzanie aplikacji dla usługi i dodasz do swojej aplikacji pakiet SDK klienta, okresowo dzieje się tak:
- Twoja aplikacja wchodzi w interakcję z wybranym przez Ciebie dostawcą w celu uzyskania poświadczenia autentyczności aplikacji lub urządzenia (lub obu, w zależności od dostawcy).
- Zaświadczenie jest wysyłane do serwera sprawdzania aplikacji, który weryfikuje ważność zaświadczenia przy użyciu parametrów zarejestrowanych w aplikacji i zwraca do Twojej aplikacji token sprawdzania aplikacji z czasem wygaśnięcia. Ten token może zawierać pewne informacje o zweryfikowanym materiale poświadczającym.
- Zestaw SDK klienta App Check przechowuje token w Twojej aplikacji w pamięci podręcznej, gotowy do wysłania wraz z wszelkimi żądaniami wysyłanymi przez Twoją aplikację do usług chronionych.
Usługa chroniona przez Kontrolę aplikacji akceptuje tylko żądania, którym towarzyszy aktualny, ważny token Kontroli aplikacji.
Jak silne jest bezpieczeństwo zapewniane przez App Check?
Sprawdzanie aplikacji opiera się na sile swoich dostawców zaświadczeń w celu ustalenia autentyczności aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim, wektorom nadużyć skierowanym do twoich backendów. Korzystanie z funkcji Sprawdzanie aplikacji nie gwarantuje wyeliminowania wszystkich nadużyć, ale integracja z funkcją Sprawdzanie aplikacji stanowi ważny krok w kierunku ochrony zasobów zaplecza przed nadużyciami.
W jaki sposób sprawdzanie aplikacji jest powiązane z uwierzytelnianiem Firebase?
Sprawdzanie aplikacji i uwierzytelnianie Firebase to uzupełniające się elementy historii bezpieczeństwa aplikacji. Uwierzytelnianie Firebase zapewnia uwierzytelnianie użytkownika, które chroni Twoich użytkowników, podczas gdy Sprawdzanie aplikacji zapewnia poświadczenie autentyczności aplikacji lub urządzenia, co chroni Ciebie, programistę. Kontrola aplikacji chroni dostęp do zasobów Firebase i niestandardowych backendów, wymagając, aby wywołania API zawierały prawidłowy token Firebase App Check. Te dwie koncepcje współpracują ze sobą, aby pomóc zabezpieczyć aplikację.
Kwoty i limity
Korzystanie przez Ciebie z Sprawdzania aplikacji podlega limitom i limitom dostawców zaświadczeń, z których korzystasz.
Dostęp do DeviceCheck i App Attest podlega wszelkim limitom lub ograniczeniom ustalonym przez Apple.
Play Integrity ma dzienny limit 10 000 wywołań dla standardowego poziomu użycia interfejsu API. Informacje o podnoszeniu poziomu użytkowania znajdziesz w dokumentacji Play Integrity .
SafetyNet ma dzienny limit 10 000 połączeń. Aby uzyskać informacje na temat prośby o zwiększenie limitu, zapoznaj się z dokumentacją SafetyNet .
reCAPTCHA Enterprise jest bezpłatna dla 1 miliona połączeń miesięcznie, a poza tym jest płatna. Zobacz ceny reCAPTCHA Enterprise .
Zaczynaj
Gotowy żeby zacząć?
Platformy Apple'a
Certyfikat aplikacji DeviceCheck
Android
Sieć
Trzepotanie
C++
Jedność
Dowiedz się, jak wdrożyć niestandardowego dostawcę sprawdzania aplikacji:
Dowiedz się, jak używać Sprawdzania aplikacji do ochrony zasobów zaplecza innych niż Firebase: