Join us in person and online for Firebase Summit on October 18, 2022. Learn how Firebase can help you accelerate app development, release your app with confidence, and scale with ease. Register now
Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Comprobación de la aplicación Firebase

App Check ayuda a proteger los recursos de su API contra el abuso al evitar que los clientes no autorizados accedan a sus recursos de back-end. Funciona con los servicios de Firebase, los servicios de Google Cloud y sus propias API para mantener sus recursos seguros.

Con App Check, los dispositivos que ejecutan su aplicación utilizarán un proveedor de atestación de aplicación o dispositivo que certifique uno o ambos de los siguientes:

  • Las solicitudes se originan en su aplicación auténtica
  • Las solicitudes se originan en un dispositivo auténtico y no manipulado

Esta atestación se adjunta a cada solicitud que hace su aplicación a las API que especifique. Cuando habilita el cumplimiento de App Check, se rechazarán las solicitudes de clientes sin una certificación válida, al igual que cualquier solicitud que se origine en una aplicación o plataforma que no haya autorizado.

App Check tiene soporte integrado para usar los siguientes servicios como proveedores de atestación:

Si estos son insuficientes para sus necesidades, también puede implementar su propio servicio que utilice un proveedor de atestación de terceros o sus propias técnicas de atestación.

App Check actualmente funciona con los siguientes productos de Firebase:

Productos de Firebase admitidos
Base de datos en tiempo real
Tienda de fuego en la nube
Almacenamiento en la nube
Funciones en la nube (funciones invocables)

También puede usar App Check para proteger sus recursos de backend que no son de Firebase.

¿Preparado para comenzar?

Empezar

¿Como funciona?

Cuando habilita App Check para un servicio e incluye el SDK del cliente en su aplicación, lo siguiente sucede periódicamente:

  1. Su aplicación interactúa con el proveedor de su elección para obtener una certificación de la autenticidad de la aplicación o del dispositivo (o ambos, según el proveedor).
  2. La atestación se envía al servidor de App Check, que verifica la validez de la atestación usando parámetros registrados con la aplicación y devuelve a su aplicación un token de App Check con un tiempo de caducidad. Este token podría retener alguna información sobre el material de atestación que verificó.
  3. El SDK del cliente de App Check almacena en caché el token en su aplicación, listo para enviarse junto con cualquier solicitud que haga su aplicación a los servicios protegidos.

Un servicio protegido por App Check solo acepta solicitudes acompañadas de un token de App Check actual y válido.

¿Qué tan fuerte es la seguridad proporcionada por App Check?

App Check se basa en la solidez de sus proveedores de atestación para determinar la autenticidad de la aplicación o el dispositivo. Previene algunos, pero no todos, los vectores de abuso dirigidos a sus backends. El uso de App Check no garantiza la eliminación de todos los abusos, pero al integrarse con App Check, está dando un paso importante hacia la protección contra abusos para sus recursos de back-end.

App Check y Firebase Authentication son partes complementarias de la historia de seguridad de su aplicación. Firebase Authentication brinda autenticación de usuario, lo que protege a sus usuarios, mientras que App Check brinda certificación de la autenticidad de la aplicación o el dispositivo, lo que lo protege a usted, el desarrollador. App Check protege el acceso a sus recursos de Firebase y backends personalizados al requerir que las llamadas a la API contengan un token de Firebase App Check válido. Estos dos conceptos trabajan juntos para ayudar a proteger su aplicación.

Cuotas y límites

Su uso de App Check está sujeto a las cuotas y límites de los proveedores de atestación que utiliza.

  • El acceso a DeviceCheck y App Attest está sujeto a las cuotas o limitaciones establecidas por Apple.

  • Play Integrity tiene una cuota diaria de 10 000 llamadas para su nivel de uso de API estándar. Para obtener información sobre cómo aumentar su nivel de uso, consulte la documentación de Play Integrity .

  • SafetyNet tiene una cuota diaria de 10.000 llamadas. Para obtener información sobre cómo solicitar un aumento de cuota, consulte la documentación de SafetyNet .

  • reCAPTCHA v3 tiene una cuota mensual de 1 millón de llamadas, así como un límite de 1000 QPS. Para obtener información sobre cómo solicitar un aumento de cuota, consulte la documentación de reCAPTCHA .

  • reCAPTCHA Enterprise es gratuito para 1 millón de llamadas por mes, y con un costo adicional. Consulte los precios de reCAPTCHA Enterprise .

Empezar

¿Preparado para comenzar?

plataformas de manzana

Certificación de la aplicación DeviceCheck

Androide

Play Integridad SafetyNet

Web

reCAPTCHA v3 reCAPTCHA Empresa

Aleteo

Proveedores predeterminados

Aprenda a implementar un proveedor personalizado de verificación de aplicaciones:

Proveedores personalizados

Aprenda a usar App Check para proteger sus recursos de backend que no son de Firebase:

Flutter web de iOS+ Android