Firebase App Check
App Check pomaga chronić backendy aplikacji przed nadużyciami, zapobiegając naruszeniom nieupoważnione klienty nie uzyskują dostępu do zasobów backendu. Działa z usługami Google (w tym Firebase i Google Cloud) oraz z własnymi backendami, aby chronić Twoje zasoby.
Dzięki App Check urządzenia z uruchomioną aplikacją będą korzystać z aplikacji lub urządzenia dostawcy atestów, który potwierdza co najmniej jeden z tych warunków:
- Żądania pochodzą z autentycznej aplikacji
- żądania pochodzą z autentycznego, nienaruszonego urządzenia;
Ten atest jest dołączony do każdego żądania wysyłanego przez aplikację do interfejsów API określić. Gdy włączysz wymuszanie App Check, żądania od klientów bez ważnego poświadczenia zostaną odrzucone, podobnie jak żądania pochodzące z aplikacji lub platformy, których nie autoryzowałeś.
App Check obsługuje te usługi jako dostawców uwierzytelnienia:
- DeviceCheck lub App Attest na platformach Apple.
- Play Integrity na Androidzie
- reCAPTCHA Enterprise w aplikacjach internetowych.
Jeśli te opcje nie spełniają Twoich potrzeb, możesz też wdrożyć własną usługę, która korzysta z zewnętrznego dostawcy usługi weryfikacji lub z własnych technik weryfikacji.
Aplikacja App Check działa z tymi usługami Google:
| Obsługiwane usługi Google |
|---|
| Firebase Data Connect (podgląd) |
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (funkcje wywoływane) |
| Authentication (beta; wymaga uaktualnienia do wersji Firebase Authentication with Identity Platform) |
| Tożsamość Google na iOS (beta) |
| Vertex AI in Firebase (wersja przedpremierowa) |
Możesz też używać App Check do ochrony zasobów backendu spoza Google.
Jak to działa?
Gdy włączysz App Check w usłudze i dołączysz pakiet SDK klienta co jakiś czas:
- Aplikacja komunikuje się z wybranym przez Ciebie dostawcą, aby uzyskać potwierdzenie autentyczności aplikacji lub urządzenia (lub obu, w zależności od dostawcy).
- Potwierdzenie jest wysyłane na serwer App Check, który weryfikuje jego ważność za pomocą parametrów zarejestrowanych w aplikacji, a następnie zwraca do aplikacji token App Check z terminem ważności. Ten token może przechowywać pewne informacje o materiałach weryfikacyjnych, które zweryfikował.
- Pakiet SDK klienta App Check zapisuje w pamięci podręcznej token w aplikacji gotowy do wysłania wraz ze wszystkimi żądaniami, które Twoja aplikacja wysyła do chronionych usług.
Usługa chroniona przez domenę App Check akceptuje tylko towarzyszące prośby za pomocą aktualnego, prawidłowego tokena App Check.
Jak silne są zabezpieczenia zapewniane przez firmę App Check?
Określając to, App Check korzysta z wiarygodnych informacji podawanych przez dostawców atestów autentyczności aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim wektorom nadużyć kierowane do backendów. Korzystanie z App Check nie gwarantuje wyeliminowania wszystkich przypadków nadużyć, ale integracja z App Check to ważny krok w kierunku ochrony zasobów backendu przed nadużyciami.
Jak App Check jest powiązany z Firebase Authentication?
App Check i Firebase Authentication to uzupełniające się części historii bezpieczeństwa aplikacji. Firebase Authentication zapewnia uwierzytelnianie użytkowników, co chroni ich przed zagrożeniami, a App Check zapewnia potwierdzenie autentyczności aplikacji lub urządzenia, co chroni dewelopera. App Check chroni dostęp do zasobów backendu Google i niestandardowych backendów, wymagając, aby wywołania interfejsu API zawierały prawidłowy token App Check. Te 2 koncepcje współdziałają ze sobą, aby zapewnić bezpieczeństwo aplikacji.
Limity
Korzystanie z usługi App Check podlega limitom określonym w atestie z których usług korzystasz.
Dostęp do DeviceCheck i App Attest podlega wszelkim limitom i ograniczeniam określonym przez Apple.
Play Integrity API ma limit 10 tys. wywołań dziennie standardowego interfejsu API . Informacje o podwyższeniu poziomu wykorzystania znajdziesz w dokumentacji Play Integrity.
SafetyNet ma dzienny limit 10 tys. połączeń. Informacje na temat składania wniosków o Więcej informacji znajdziesz w dokumentacji SafetyNet.
reCAPTCHA Enterprise to bezpłatna usługa umożliwiająca przeprowadzenie 10 tys. testów miesięcznie oraz i kosztują więcej. Zobacz cennik reCAPTCHA.
Rozpocznij
Chcesz rozpocząć?
Platformy Apple
Sprawdzanie urządzenia App Attest
Android
Sieć
Flutter
C++
Unity
Dowiedz się, jak zaimplementować niestandardowy dostawca App Check
Dowiedz się, jak używać App Check do ochrony zasobów backendu spoza Google
Wybierz platformę:
iOS lub nowszy Android Sieć Efekt fluktuacji