Sprawdzanie aplikacji Firebase
Kontrola aplikacji pomaga chronić zasoby interfejsu API przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów zaplecza. Współpracuje zarówno z usługami Firebase, usługami Google Cloud, jak i Twoimi własnymi interfejsami API, aby zapewnić bezpieczeństwo Twoich zasobów.
Dzięki Sprawdzaniu aplikacji urządzenia, na których uruchomiona jest Twoja aplikacja, będą korzystać z dostawcy atestacji aplikacji lub urządzenia, który poświadcza co najmniej jeden z następujących elementów:
- Żądania pochodzą z Twojej autentycznej aplikacji
- Żądania pochodzą z autentycznego, nienaruszonego urządzenia
To zaświadczenie jest dołączane do każdego żądania, które Twoja aplikacja wysyła do określonych interfejsów API. Po włączeniu wymuszania kontroli aplikacji żądania klientów bez ważnego zaświadczenia będą odrzucane, podobnie jak wszelkie żądania pochodzące z aplikacji lub platformy, której nie autoryzowałeś.
App Check ma wbudowaną obsługę korzystania z następujących usług jako dostawców atestacji:
- DeviceCheck lub App Atest na platformach Apple
- Play Integrity lub SafetyNet (wycofane) na Androidzie
- reCAPTCHA v3 lub reCAPTCHA Enterprise w aplikacjach internetowych
Jeśli są one niewystarczające dla Twoich potrzeb, możesz również wdrożyć własną usługę, która wykorzystuje albo zewnętrznego dostawcę atestacji, albo własne techniki atestacji.
Kontrola aplikacji działa obecnie z następującymi produktami Firebase:
| Obsługiwane produkty Firebase |
|---|
| Baza danych czasu rzeczywistego |
| Cloud Firestore |
| Magazyn w chmurze |
| Funkcje w chmurze (funkcje, które można wywoływać) |
Za pomocą Kontroli aplikacji możesz też chronić zasoby zaplecza inne niż Firebase.
Gotowy żeby zacząć?
Jak to działa?
Gdy włączysz sprawdzanie aplikacji dla usługi i dołączysz pakiet SDK klienta do swojej aplikacji, co jakiś czas zdarzają się następujące sytuacje:
- Twoja aplikacja wchodzi w interakcję z wybranym dostawcą, aby uzyskać poświadczenie autentyczności aplikacji lub urządzenia (lub obu, w zależności od dostawcy).
- Poświadczenie jest wysyłane do serwera App Check, który weryfikuje ważność poświadczenia przy użyciu parametrów zarejestrowanych w aplikacji i zwraca do aplikacji token App Check z czasem wygaśnięcia. Ten token może zawierać pewne informacje o zweryfikowanym materiale atestacyjnym.
- Pakiet SDK klienta App Check buforuje token w Twojej aplikacji, gotowy do wysłania wraz z wszelkimi żądaniami, które Twoja aplikacja wysyła do chronionych usług.
Usługa chroniona przez App Check akceptuje tylko żądania, którym towarzyszy aktualny, ważny token App Check.
Jak silne jest bezpieczeństwo zapewniane przez App Check?
Kontrola aplikacji opiera się na sile dostawców atestacji w celu określenia autentyczności aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim, wektorom nadużyć skierowanych na twoje backendy. Korzystanie z App Check nie gwarantuje wyeliminowania wszystkich nadużyć, ale integrując się z App Check, robisz ważny krok w kierunku ochrony przed nadużyciami zasobów zaplecza.
W jaki sposób Sprawdzanie aplikacji jest powiązane z Uwierzytelnianiem Firebase?
Sprawdzanie aplikacji i Uwierzytelnianie Firebase to uzupełniające się elementy historii bezpieczeństwa Twojej aplikacji. Uwierzytelnianie Firebase zapewnia uwierzytelnianie użytkownika, które chroni Twoich użytkowników, podczas gdy Sprawdzanie aplikacji zapewnia poświadczenie autentyczności aplikacji lub urządzenia, które chroni Ciebie, programistę. Kontrola aplikacji chroni dostęp do zasobów Firebase i niestandardowych backendów, wymagając, aby wywołania interfejsu API zawierały prawidłowy token Kontroli aplikacji Firebase. Te dwie koncepcje współpracują ze sobą, aby pomóc zabezpieczyć Twoją aplikację.
Kontyngenty i limity
Korzystanie z Kontroli Aplikacji podlega limitom i limitom dostawców atestacji, z których korzystasz.
Dostęp DeviceCheck i App Atest podlega wszelkim limitom lub ograniczeniom ustalonym przez Apple.
Play Integrity ma dzienny limit 10 000 wywołań w warstwie użycia Standardowy interfejs API. Aby uzyskać informacje o podnoszeniu poziomu użytkowania, zapoznaj się z dokumentacją Play Integrity .
SafetyNet ma dzienny limit 10 000 połączeń. Aby uzyskać informacje na temat żądania zwiększenia limitu, zapoznaj się z dokumentacją SafetyNet .
reCAPTCHA v3 ma miesięczny limit 1 miliona wywołań, a także limit 1000 QPS. Aby uzyskać informacje na temat żądania zwiększenia limitu, zapoznaj się z dokumentacją reCAPTCHA .
reCAPTCHA Enterprise jest bezpłatny za 1 milion połączeń miesięcznie, a ponadto kosztuje więcej. Zobacz cennik reCAPTCHA Enterprise .
Zaczynaj
Gotowy żeby zacząć?
Platformy Apple
Atest aplikacji DeviceCheck
Android
Sieć
reCAPTCHA v3 reCAPTCHA Enterprise
Trzepotanie
Dowiedz się, jak zaimplementować niestandardowego dostawcę sprawdzania aplikacji:
Dostawcy usług niestandardowych
Dowiedz się, jak używać Kontroli aplikacji do ochrony zasobów zaplecza innych niż Firebase:
Trzepotanie w sieci na iOS+ Android