Firebase App Check

App Check עוזר להגן על הקצוות העורפיים של האפליקציה מפני ניצול לרעה על ידי מניעה לאפשר ללקוחות לא מורשים לגשת למשאבי הקצה העורפי שלכם. הוא פועל עם שירותי Google (כולל Firebase ושירותי Google Cloud) ועם הקצוות העורפי שלכם כדי לשמור על בטיחות המשאבים.

עם App Check, מכשירים שמריצים את האפליקציה שלך יתבססו על אפליקציה או מכשיר ספק אימות שמאמת אחד מהפרטים הבאים או את שניהם:

  • הבקשות מגיעות מהאפליקציה האותנטית שלך
  • הבקשות מגיעות ממכשיר אותנטי ולא שונה

האימות מצורף לכל בקשה שהאפליקציה שולחת לממשקי ה-API שציינתם. כשמפעילים את האכיפה של App Check, מקבלים בקשות מהנכסים הבאים: לקוחות ללא אימות תקף יידחו, כמו גם כל בקשה שמגיע מאפליקציה או מפלטפורמה שלא אישרתם.

ב-App Check יש תמיכה מובנית בשימוש בשירותים הבאים בתור ספקי אימות:

אם השירותים האלה לא מספיקים לצרכים שלכם, תוכלו גם להטמיע שירות משלכם שמשתמש בספק אימות של צד שלישי או בשיטות אימות משלכם.

App Check פועל עם שירותי Google הבאים:

שירותי Google נתמכים
Firebase Data Connect (תצוגה מקדימה)
Realtime Database
Cloud Firestore
Cloud Storage
Cloud Functions (פונקציות קריאה)
Authentication (בטא, נדרש שדרוג ל-Firebase Authentication with Identity Platform)
Google Identity ל-iOS (בטא)
Vertex AI in Firebase (תצוגה מקדימה)

אפשר גם להשתמש ב-App Check כדי להגן על משאבים לקצה העורפי שאינם של Google.

כאן מוסבר איך מתחילים

איך זה עובד?

כשמפעילים את App Check בשירות ומצרפים את ה-SDK של הלקוח לאפליקציה, מתרחשים באופן קבוע האירועים הבאים:

  1. האפליקציה שלכם מקיימת אינטראקציה עם הספק שבחרתם כדי לקבל אימות של האותנטיות של האפליקציה או המכשיר (או של שניהם, בהתאם לספק).
  2. האימות נשלח לשרת App Check, שמאמת את תוקף האימות באמצעות פרמטרים שרשומים באפליקציה, וכן מחזירה לאפליקציה שלך אסימון App Check עם זמן תפוגה. יכול להיות שהאסימון הזה ישמור מידע מסוים על חומר האימות שהוא אימת.
  3. ה-SDK של לקוח App Check מאחסן את האסימון באפליקציה, ומכין אותו לשליחה יחד עם כל הבקשות שהאפליקציה שולחת לשירותים המוגנים.

שירות שמוגן על ידי App Check מקבל רק בקשות שנלוות אליו באמצעות אסימון App Check חוקי ונוכחי.

עד כמה חזקה האבטחה של App Check?

App Check מסתמך על העוצמה של ספקי האימות (attestation) שלו כדי לקבוע האותנטיות של האפליקציה או המכשיר. הוא מונע חלק ממאפייני ניצול לרעה שמכוונים לקצוות העורפי שלכם, אבל לא את כולם. השימוש ב-App Check לא מבטיח היעדר כל התנהלות פוגעת, אבל על ידי שילוב עם App Check, נקיטת צעד חשוב בהגנה מפני ניצול לרעה של משאבי הקצה העורפי שלכם.

App Check ו-Firebase Authentication הם חלקים משלימים של אבטחת האפליקציה. Firebase Authentication מספק אימות משתמשים, שמגן על המשתמשים שלכם, ואילו App Check מספק אימות של אותנטיות האפליקציה או המכשיר, שמגן עליכם, המפתחים. App Check מגן על הגישה למשאבי הקצה העורפי של Google ולקצות עורפי מותאמים אישית, על ידי דרישה שכינויי הקריאה ל-API יכללו אסימון App Check תקף. שני המושגים האלה פועלים יחד כדי לאבטח את האפליקציה.

מכסות ומגבלות

השימוש שלך ב-App Check כפוף למכסות ולמגבלות של האימות (attestation) הספקים שבהם אתם משתמשים.

  • הגישה ל-DeviceCheck ול-App Attest כפופה למכסות או למגבלות שהוגדרו על ידי Apple.

  • ברמת השימוש הרגילה ב-API של Play Integrity יש מכסה יומית של 10,000 קריאות. למידע על העלאת רמת השימוש, קראו את מסמכי העזרה של Play Integrity.

  • לאתר SafetyNet יש מכסה יומית של 10,000 קריאות. לקבלת מידע על בקשת להגדלת המכסה, ראו מסמכי תיעוד של SafetyNet.

  • שירות reCAPTCHA Enterprise ללא עלות ל-10,000 בדיקות בכל חודש, ויש לו בעלות גבוהה יותר. מחירון reCAPTCHA

שנתחיל?

שנתחיל?

פלטפורמות של Apple

DeviceCheck App Attest

Android

Play Integrity

אינטרנט

reCAPTCHA Enterprise

Flutter

ספקי ברירת מחדל

C++‎

ספקי ברירת מחדל

Unity

ספקים שמוגדרים כברירת מחדל

איך מטמיעים ספק App Check בהתאמה אישית

ספקים בהתאמה אישית

איך משתמשים ב-App Check כדי להגן על משאבי הקצה העורפי שאינם של Google

בחירת הפלטפורמה:

iOS+ Android אינטרנט Flutter