Firebase App Check
App Check ช่วยปกป้องแบ็กเอนด์ของแอปจากการละเมิดโดยป้องกันไม่ให้ไคลเอ็นต์ที่ไม่ได้รับอนุญาตเข้าถึงทรัพยากรแบ็กเอนด์ ซึ่งทำงานร่วมกับทั้งบริการของ Google (รวมถึงบริการ Firebase และ Google Cloud) และแบ็กเอนด์ที่กําหนดเองของคุณเพื่อรักษาทรัพยากรให้ปลอดภัย
เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปของคุณจะใช้ผู้ให้บริการรับรองแอปหรืออุปกรณ์ที่รับรองข้อใดข้อหนึ่งหรือทั้ง 2 ข้อต่อไปนี้
- คำขอมาจากแอปที่ถูกต้อง
- คำขอมาจากอุปกรณ์ที่ถูกต้องและไม่มีการดัดแปลง
การรับรองนี้จะแนบไปกับคําขอทั้งหมดที่แอปส่งไปยัง API ที่คุณระบุ เมื่อคุณเปิดใช้การบังคับใช้ App Check ระบบจะปฏิเสธคําขอจากไคลเอ็นต์ที่ไม่มีการตรวจสอบสิทธิ์ที่ถูกต้อง รวมถึงคําขอที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้ให้สิทธิ์
App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้เป็นผู้ให้บริการรับรอง
- DeviceCheck หรือ App Attest ในแพลตฟอร์ม Apple
- Play Integrity ใน Android
- reCAPTCHA Enterprise ในเว็บแอป
หากบริการเหล่านี้ไม่เพียงพอต่อความต้องการ คุณยังใช้บริการของคุณเองได้โดยใช้ผู้ให้บริการการรับรองบุคคลที่สามหรือเทคนิคการรับรองของคุณเอง
App Check ทำงานร่วมกับบริการของ Google ต่อไปนี้
| บริการ Firebase และ Google Cloud ที่รองรับ |
|---|
| Firebase Authentication (เวอร์ชันตัวอย่าง) |
| Firebase Data Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (ฟังก์ชันที่เรียกใช้ได้เท่านั้น) |
| Vertex AI in Firebase |
| บริการ Google Maps Platform ที่รองรับ |
| Maps JavaScript API (เวอร์ชันตัวอย่าง) |
| Places API (ใหม่) (เวอร์ชันตัวอย่าง) |
| บริการอื่นๆ ของ Google ที่รองรับ |
| Google Identity สำหรับ iOS |
นอกจากนี้ คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่กำหนดเองซึ่งไม่ใช่ของ Google ได้ด้วย เช่น แบ็กเอนด์ที่โฮสต์เอง
วิธีการทำงาน
เมื่อคุณเปิดใช้ App Check สําหรับบริการและรวม SDK ของไคลเอ็นต์ไว้ในแอป ระบบจะทําสิ่งต่อไปนี้เป็นระยะ
- แอปของคุณจะโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อรับการรับรองความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้ง 2 อย่าง ทั้งนี้ขึ้นอยู่กับผู้ให้บริการ)
- ระบบจะส่งการรับรองไปยังเซิร์ฟเวอร์ App Check ซึ่งจะตรวจสอบความถูกต้องของการรับรองโดยใช้พารามิเตอร์ที่ลงทะเบียนกับแอป และส่งโทเค็น App Check ที่มีเวลาหมดอายุไปยังแอป โทเค็นนี้อาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรองที่ยืนยันไว้
- SDK ไคลเอ็นต์ App Check จะแคชโทเค็นไว้ในแอปของคุณ พร้อมที่จะส่งพร้อมกับคำขอใดๆ ที่แอปส่งไปยังบริการที่ได้รับการปกป้อง
บริการที่ได้รับการปกป้องโดย App Check จะยอมรับเฉพาะคำขอที่มาพร้อมกับโทเค็น App Check ที่ถูกต้องและใช้งานได้ในปัจจุบัน
App Check มีการรักษาความปลอดภัยที่รัดกุมเพียงใด
App Check อาศัยความน่าเชื่อถือของผู้ให้บริการการรับรองเพื่อพิจารณาความถูกต้องของแอปหรืออุปกรณ์ ซึ่งจะป้องกันเวกเตอร์การละเมิดบางอย่าง (แต่ไม่ใช่ทั้งหมด) ที่มุ่งเป้าไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่าจะกำจัดการใช้ในทางที่ผิดทั้งหมดได้ แต่การผสานรวมกับ App Check เป็นการก้าวสำคัญในการปกป้องทรัพยากรแบ็กเอนด์ของคุณจากการใช้ในทางที่ผิด
App Check เกี่ยวข้องกับ Firebase Authentication อย่างไร
App Check และ Firebase Authentication เป็นส่วนเสริมของเรื่องราวด้านความปลอดภัยของแอป Firebase Authentication ให้บริการตรวจสอบสิทธิ์ผู้ใช้ ซึ่งจะปกป้องผู้ใช้ ส่วน App Check ให้บริการรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งจะปกป้องคุณในฐานะนักพัฒนาแอป App Check จะปกป้องการเข้าถึงทรัพยากรแบ็กเอนด์ของ Google และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API ต้องมีโทเค็น App Check ที่ถูกต้อง 2 แนวคิดนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอป
โควต้าและขีดจำกัด
การใช้ App Check ของคุณอยู่ภายใต้โควต้าและขีดจํากัดของผู้ให้บริการการรับรองที่คุณใช้
การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดที่ Apple กำหนด
Play Integrity มีโควต้าการเรียกใช้ 10,000 ครั้งต่อวันสำหรับการใช้งาน API ระดับมาตรฐาน ดูข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งานได้ที่เอกสารประกอบของ Play Integrity
reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการประเมิน 10,000 ครั้งต่อเดือน และจะมีค่าใช้จ่ายเพิ่มเติมหลังจากนั้น ดูราคา reCAPTCHA
เริ่มต้นใช้งาน
หากพร้อมที่จะเริ่มแล้ว
แพลตฟอร์มของ Apple
Android
เว็บ
Flutter
Unity
C++
ดูวิธีใช้ผู้ให้บริการ App Check ที่กําหนดเอง
ดูวิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่กําหนดเอง
เลือกแพลตฟอร์มของคุณ
iOS+ Android เว็บ Flutter Unity C++