Vérification de l'application Firebase

App Check aide à protéger vos ressources API contre les abus en empêchant les clients non autorisés d'accéder à vos ressources backend. Il fonctionne à la fois avec les services Firebase, les services Google Cloud et vos propres API pour assurer la sécurité de vos ressources.

Avec App Check, les appareils exécutant votre application utiliseront un fournisseur d'attestation d'application ou d'appareil qui atteste de l'un ou des deux des éléments suivants :

  • Les demandes proviennent de votre application authentique
  • Les demandes proviennent d'un appareil authentique et non falsifié

Cette attestation est jointe à chaque demande que votre application adresse aux API que vous spécifiez. Lorsque vous activez l'application d'App Check, les demandes des clients sans attestation valide seront rejetées, tout comme toute demande provenant d'une application ou d'une plate-forme que vous n'avez pas autorisée.

App Check intègre une prise en charge pour l'utilisation des services suivants en tant que fournisseurs d'attestation :

Si ceux-ci ne répondent pas à vos besoins, vous pouvez également mettre en œuvre votre propre service qui utilise soit un fournisseur d'attestation tiers, soit vos propres techniques d'attestation.

App Check fonctionne actuellement avec les produits Firebase suivants :

Produits Firebase pris en charge
Base de données en temps réel
Cloud Firestore
Stockage en ligne
Fonctions Cloud (fonctions appelables)
Authentification (bêta ; nécessite une mise à niveau vers Firebase Authentication avec Identity Platform )

Vous pouvez également utiliser App Check pour protéger vos ressources backend non Firebase.

Prêt à commencer?

Commencer

Comment ça marche?

Lorsque vous activez App Check pour un service et incluez le SDK client dans votre application, les événements suivants se produisent périodiquement :

  1. Votre application interagit avec le fournisseur de votre choix pour obtenir une attestation de l'authenticité de l'application ou de l'appareil (ou les deux, selon le fournisseur).
  2. L'attestation est envoyée au serveur App Check, qui vérifie la validité de l'attestation à l'aide des paramètres enregistrés dans l'application, et renvoie à votre application un jeton App Check avec un délai d'expiration. Ce jeton peut conserver certaines informations sur le matériel d'attestation qu'il a vérifié.
  3. Le SDK client App Check met en cache le jeton dans votre application, prêt à être envoyé avec toute demande que votre application adresse aux services protégés.

Un service protégé par App Check n'accepte que les demandes accompagnées d'un jeton App Check actuel et valide.

Quel est le niveau de sécurité fourni par App Check ?

App Check s'appuie sur la solidité de ses fournisseurs d'attestation pour déterminer l'authenticité de l'application ou de l'appareil. Cela empêche certains vecteurs d’abus, mais pas tous, dirigés vers vos backends. L'utilisation d'App Check ne garantit pas l'élimination de tous les abus, mais en l'intégrant à App Check, vous franchissez une étape importante vers la protection contre les abus de vos ressources backend.

App Check et Firebase Authentication sont des éléments complémentaires de la sécurité de votre application. L'authentification Firebase fournit une authentification utilisateur, qui protège vos utilisateurs, tandis qu'App Check fournit une attestation de l'authenticité de l'application ou de l'appareil, qui vous protège, en tant que développeur. App Check protège l'accès à vos ressources Firebase et à vos backends personnalisés en exigeant que les appels d'API contiennent un jeton Firebase App Check valide. Ces deux concepts fonctionnent ensemble pour vous aider à sécuriser votre application.

Quotas et limites

Votre utilisation d'App Check est soumise aux quotas et aux limites des fournisseurs d'attestation que vous utilisez.

  • L’accès à DeviceCheck et App Attest est soumis à tous les quotas ou limitations définis par Apple.

  • Play Integrity dispose d'un quota quotidien de 10 000 appels pour son niveau d'utilisation de l'API standard. Pour plus d'informations sur l'augmentation de votre niveau d'utilisation, consultez la documentation Play Integrity .

  • SafetyNet a un quota quotidien de 10 000 appels. Pour plus d'informations sur la demande d'augmentation de quota, consultez la documentation SafetyNet .

  • reCAPTCHA Enterprise est gratuit pour 1 million d'appels par mois, et au-delà. Consultez les tarifs de reCAPTCHA Enterprise .

Commencer

Prêt à commencer?

Plateformes Apple

Attestation de l'application DeviceCheck

Android

Jouez à l’intégrité

la toile

reCAPTCHA Entreprise

Battement

Fournisseurs par défaut

C++

Fournisseurs par défaut

Unité

Fournisseurs par défaut

Découvrez comment implémenter un fournisseur App Check personnalisé :

Fournisseurs personnalisés

Découvrez comment utiliser App Check pour protéger vos ressources backend non Firebase :

Flutter Web iOS+ Android