การตรวจสอบแอป Firebase

App Check ช่วยปกป้องทรัพยากร API ของคุณจากการละเมิดโดยป้องกันไม่ให้ไคลเอนต์ที่ไม่ได้รับอนุญาตเข้าถึงทรัพยากรแบ็กเอนด์ของคุณ ทำงานร่วมกับทั้งบริการ Firebase, บริการ Google Cloud และ API ของคุณเองเพื่อรักษาทรัพยากรของคุณให้ปลอดภัย

เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปของคุณจะใช้แอปหรือผู้ให้บริการรับรองอุปกรณ์ที่รับรองสิ่งใดสิ่งหนึ่งหรือทั้งสองอย่างต่อไปนี้:

  • คำขอมาจากแอปจริงของคุณ
  • คำขอมาจากอุปกรณ์จริงที่ไม่ได้ดัดแปลง

เอกสารรับรองนี้แนบมากับทุกคำขอที่แอปของคุณส่งไปยัง API ที่คุณระบุ เมื่อคุณเปิดใช้งานการบังคับใช้การตรวจสอบแอป คำขอจากลูกค้าที่ไม่มีการรับรองที่ถูกต้องจะถูกปฏิเสธ เช่นเดียวกับคำขอใดๆ ที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้อนุญาต

App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้ในฐานะผู้ให้บริการรับรอง:

หากสิ่งเหล่านี้ไม่เพียงพอสำหรับความต้องการของคุณ คุณยังสามารถใช้บริการของคุณเองโดยใช้ผู้ให้บริการรับรองบุคคลที่สามหรือเทคนิคการรับรองของคุณเอง

ขณะนี้ App Check ใช้งานได้กับผลิตภัณฑ์ Firebase ต่อไปนี้

ผลิตภัณฑ์ Firebase ที่รองรับ
ฐานข้อมูลเรียลไทม์
Cloud Firestore
การจัดเก็บเมฆ
ฟังก์ชันคลาวด์ (ฟังก์ชันที่เรียกได้)
การตรวจสอบสิทธิ์ (เบต้า ต้องอัปเกรดเป็น Firebase Authentication ด้วย Identity Platform )

คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase ได้อีกด้วย

พร้อมที่จะเริ่มต้นหรือยัง

เริ่ม

มันทำงานอย่างไร?

เมื่อคุณเปิดใช้ App Check สำหรับบริการและรวมไคลเอ็นต์ SDK ในแอปของคุณ สิ่งต่อไปนี้จะเกิดขึ้นเป็นระยะ:

  1. แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อรับการรับรองความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้งสองอย่าง ขึ้นอยู่กับผู้ให้บริการ)
  2. การรับรองจะถูกส่งไปยังเซิร์ฟเวอร์ App Check ซึ่งจะตรวจสอบความถูกต้องของการรับรองโดยใช้พารามิเตอร์ที่ลงทะเบียนกับแอป และส่งคืนโทเค็น App Check พร้อมเวลาหมดอายุให้กับแอปของคุณ โทเค็นนี้อาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรองที่ตรวจสอบแล้ว
  3. SDK ไคลเอนต์ App Check แคชโทเค็นในแอปของคุณ พร้อมที่จะส่งไปพร้อมกับคำขอใดๆ ที่แอปของคุณส่งไปยังบริการที่ได้รับการป้องกัน

บริการที่ได้รับการปกป้องโดย App Check จะยอมรับเฉพาะคำขอที่มาพร้อมกับโทเค็น App Check ที่ถูกต้องในปัจจุบันเท่านั้น

App Check มีความปลอดภัยสูงเพียงใด

การตรวจสอบแอปอาศัยความแข็งแกร่งของผู้ให้บริการรับรองเพื่อระบุความถูกต้องของแอปหรืออุปกรณ์ มันป้องกันพาหะในทางที่ผิดบางส่วน แต่ไม่ใช่ทั้งหมดที่มุ่งไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่าจะกำจัดการละเมิดทั้งหมด แต่ด้วยการรวมเข้ากับ App Check คุณกำลังก้าวไปสู่ขั้นตอนสำคัญในการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์ของคุณ

การตรวจสอบแอปและการตรวจสอบสิทธิ์ Firebase เป็นส่วนเสริมของเรื่องราวความปลอดภัยของแอป Firebase Authentication ให้การรับรองความถูกต้องของผู้ใช้ ซึ่งจะปกป้องผู้ใช้ของคุณ ในขณะที่ App Check ให้การรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งจะปกป้องคุณซึ่งเป็นนักพัฒนาซอฟต์แวร์ App Check ปกป้องการเข้าถึงทรัพยากร Firebase และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API ต้องมีโทเค็น Firebase App Check ที่ถูกต้อง แนวคิดทั้งสองนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอปของคุณ

โควต้าและขีดจำกัด

การใช้ App Check ของคุณขึ้นอยู่กับโควต้าและขีดจำกัดของผู้ให้บริการรับรองที่คุณใช้

  • การเข้าถึง DeviceCheck และ App Attest อยู่ภายใต้โควต้าหรือข้อจำกัดใดๆ ที่กำหนดโดย Apple

  • Play Integrity มีโควต้าการเรียกใช้ 10,000 ครั้งต่อวันสำหรับระดับการใช้งาน Standard API สำหรับข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งาน โปรดดู เอกสารประกอบ Play Integrity

  • SafetyNet มีโควต้าการโทร 10,000 ครั้งต่อวัน สำหรับข้อมูลเกี่ยวกับการขอเพิ่มโควต้า โปรดดู เอกสารประกอบของ SafetyNet

  • reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการโทร 1 ล้านครั้งต่อเดือน และมีค่าใช้จ่ายนอกเหนือจากนั้น ดู ราคา reCAPTCHA Enterprise

เริ่ม

พร้อมที่จะเริ่มต้นหรือยัง

แพลตฟอร์มของ Apple

การยืนยันแอป DeviceCheck

แอนดรอยด์

เล่นความซื่อสัตย์

เว็บ

reCAPTCHA องค์กร

กระพือ

ผู้ให้บริการเริ่มต้น

ภาษาซี++

ผู้ให้บริการเริ่มต้น

ความสามัคคี

ผู้ให้บริการเริ่มต้น

เรียนรู้วิธีใช้ผู้ให้บริการ App Check แบบกำหนดเอง:

ผู้ให้บริการที่กำหนดเอง

เรียนรู้วิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase:

iOS + Android Web Flutter