Проверка приложения Firebase

Проверка приложений помогает защитить ваши ресурсы API от злоупотреблений, предотвращая доступ неавторизованных клиентов к вашим серверным ресурсам. Он работает как со службами Firebase, сервисами Google Cloud, так и с вашими собственными API, обеспечивая безопасность ваших ресурсов.

При использовании App Check устройства, на которых работает ваше приложение, будут использовать поставщика аттестации приложений или устройств, который подтверждает одно или оба следующих пункта:

  • Запросы исходят из вашего подлинного приложения
  • Запросы исходят от подлинного незащищенного устройства.

Это подтверждение прилагается к каждому запросу, который ваше приложение отправляет к указанным вами API. Если вы включите принудительное применение проверки приложений, запросы от клиентов без действительного подтверждения будут отклонены, как и любой запрос, исходящий от приложения или платформы, которые вы не авторизовали.

App Check имеет встроенную поддержку использования следующих служб в качестве поставщиков аттестации:

Если этого недостаточно для ваших нужд, вы также можете реализовать собственную службу, использующую либо стороннего поставщика аттестации, либо ваши собственные методы аттестации.

Проверка приложений в настоящее время работает со следующими продуктами Firebase:

Поддерживаемые продукты Firebase
База данных реального времени
Облачный пожарный магазин
Облачное хранилище
Облачные функции (вызываемые функции)
Аутентификация (бета-версия; требуется обновление до Firebase Authentication с Identity Platform )

Вы также можете использовать проверку приложений для защиты серверных ресурсов, отличных от Firebase.

Готовы начать?

Начать

Как это работает?

Когда вы включаете проверку приложений для службы и включаете клиентский SDK в свое приложение, периодически происходит следующее:

  1. Ваше приложение взаимодействует с выбранным вами поставщиком для получения подтверждения подлинности приложения или устройства (или того и другого, в зависимости от поставщика).
  2. Аттестация отправляется на сервер проверки приложений, который проверяет достоверность аттестации с использованием параметров, зарегистрированных в приложении, и возвращает вашему приложению токен проверки приложения со сроком действия. Этот токен может хранить некоторую информацию о аттестационном материале, который он проверил.
  3. Клиентский SDK App Check кэширует токен в вашем приложении, готовый к отправке вместе с любыми запросами, которые ваше приложение отправляет защищенным службам.

Служба, защищенная с помощью проверки приложений, принимает только запросы, сопровождаемые текущим действительным токеном проверки приложений.

Насколько надежна безопасность, обеспечиваемая App Check?

App Check полагается на надежность своих поставщиков аттестации для определения подлинности приложения или устройства. Это предотвращает некоторые, но не все, направления злоупотреблений, направленные на ваши серверные части. Использование App Check не гарантирует устранение всех злоупотреблений, но, интегрируясь с App Check, вы делаете важный шаг на пути к защите от злоупотреблений для ваших серверных ресурсов.

Проверка приложений и аутентификация Firebase — это взаимодополняющие части истории безопасности вашего приложения. Firebase Authentication обеспечивает аутентификацию пользователей, которая защищает ваших пользователей, тогда как App Check обеспечивает подтверждение подлинности приложения или устройства, что защищает вас, как разработчика. Проверка приложений защищает доступ к вашим ресурсам Firebase и пользовательским серверным модулям, требуя, чтобы вызовы API содержали действительный токен проверки приложений Firebase. Эти две концепции работают вместе, чтобы обеспечить безопасность вашего приложения.

Квоты и лимиты

Использование вами App Check регулируется квотами и ограничениями используемых вами поставщиков аттестации.

  • Доступ к DeviceCheck и App Attest регулируется любыми квотами и ограничениями, установленными Apple.

  • Play Integrity имеет ежедневную квоту в 10 000 вызовов для стандартного уровня использования API. Информацию о повышении уровня использования см. в документации Play Integrity .

  • SafetyNet имеет ежедневную квоту в 10 000 вызовов. Информацию о запросе увеличения квоты см. в документации SafetyNet .

  • reCAPTCHA Enterprise бесплатна для 1 миллиона вызовов в месяц, а также за дополнительную плату. См. цены на reCAPTCHA Enterprise .

Начать

Готовы начать?

платформы Apple

Аттестация приложения DeviceCheck

Андроид

Играйте честно

Интернет

reCAPTCHA Предприятие

трепетать

Поставщики по умолчанию

С++

Поставщики по умолчанию

Единство

Поставщики по умолчанию

Узнайте, как реализовать собственный поставщик проверки приложений:

Пользовательские поставщики

Узнайте, как использовать проверку приложений для защиты серверных ресурсов, отличных от Firebase:

iOS+ Android Веб- флаттер