Join us in person and online for Firebase Summit on October 18, 2022. Learn how Firebase can help you accelerate app development, release your app with confidence, and scale with ease. Register now
Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Controllo dell'app Firebase

App Check aiuta a proteggere le tue risorse API da abusi impedendo ai client non autorizzati di accedere alle tue risorse di back-end. Funziona con entrambi i servizi Firebase, i servizi Google Cloud e le tue API per mantenere le tue risorse al sicuro.

Con App Check, i dispositivi che eseguono la tua app utilizzeranno un provider di attestazione dell'app o del dispositivo che attesta uno o entrambi i seguenti elementi:

  • Le richieste provengono dalla tua app autentica
  • Le richieste provengono da un dispositivo autentico e non manomesso

Questa attestazione è allegata a ogni richiesta che l'app effettua alle API specificate. Quando abiliti l'applicazione di App Check, le richieste dei client senza un'attestazione valida verranno rifiutate, così come qualsiasi richiesta proveniente da un'app o una piattaforma che non hai autorizzato.

App Check ha un supporto integrato per l'utilizzo dei seguenti servizi come provider di attestazione:

Se questi non sono sufficienti per le tue esigenze, puoi anche implementare il tuo servizio che utilizza un provider di attestazione di terze parti o le tue tecniche di attestazione.

App Check attualmente funziona con i seguenti prodotti Firebase:

Prodotti Firebase supportati
Database in tempo reale
Cloud Firestore
Archiviazione su cloud
Funzioni Cloud (funzioni richiamabili)

Puoi anche utilizzare App Check per proteggere le tue risorse back-end non Firebase.

Pronto per iniziare?

Iniziare

Come funziona?

Quando abiliti App Check per un servizio e includi l'SDK client nella tua app, periodicamente si verifica quanto segue:

  1. La tua app interagisce con il provider di tua scelta per ottenere un'attestazione dell'autenticità dell'app o del dispositivo (o entrambi, a seconda del provider).
  2. L'attestazione viene inviata al server App Check, che verifica la validità dell'attestazione utilizzando i parametri registrati con l'app e restituisce all'app un token App Check con una data di scadenza. Questo token potrebbe conservare alcune informazioni sul materiale di attestazione che ha verificato.
  3. L'SDK client di App Check memorizza nella cache il token nell'app, pronto per essere inviato insieme a qualsiasi richiesta effettuata dall'app ai servizi protetti.

Un servizio protetto da App Check accetta solo richieste accompagnate da un token App Check valido.

Quanto è forte la sicurezza fornita da App Check?

App Check si basa sulla forza dei suoi fornitori di attestazione per determinare l'autenticità dell'app o del dispositivo. Previene alcuni, ma non tutti, vettori di abuso diretti ai tuoi back-end. L'utilizzo di App Check non garantisce l'eliminazione di tutti gli abusi, ma integrandosi con App Check, stai compiendo un passo importante verso la protezione dagli abusi per le tue risorse di back-end.

App Check e Firebase Authentication sono parti complementari della storia della sicurezza delle tue app. L'autenticazione Firebase fornisce l'autenticazione dell'utente, che protegge i tuoi utenti, mentre App Check fornisce l'attestazione dell'autenticità dell'app o del dispositivo, che protegge te, lo sviluppatore. App Check protegge l'accesso alle tue risorse Firebase e ai backend personalizzati richiedendo che le chiamate API contengano un token Firebase App Check valido. Questi due concetti interagiscono per proteggere la tua app.

Quote e limiti

L'utilizzo di App Check è soggetto alle quote e ai limiti dei fornitori di attestazione che utilizzi.

  • L'accesso a DeviceCheck e App Attest è soggetto a quote o limitazioni stabilite da Apple.

  • Play Integrity ha una quota giornaliera di 10.000 chiamate per il suo livello di utilizzo dell'API Standard. Per informazioni sull'aumento del livello di utilizzo, consulta la documentazione sull'integrità del gioco .

  • SafetyNet ha una quota giornaliera di 10.000 chiamate. Per informazioni sulla richiesta di un aumento della quota, vedere la documentazione di SafetyNet .

  • reCAPTCHA v3 ha una quota mensile di 1 milione di chiamate e un limite di 1.000 QPS. Per informazioni sulla richiesta di un aumento della quota, consultare la documentazione reCAPTCHA .

  • reCAPTCHA Enterprise è gratuito per 1 milione di chiamate al mese e a un costo superiore. Vedi i prezzi di reCAPTCHA Enterprise .

Iniziare

Pronto per iniziare?

Piattaforme Apple

Attestazione dell'app DeviceCheck

Androide

Gioca a Integrity SafetyNet

ragnatela

reCAPTCHA v3 reCAPTCHA Enterprise

Svolazzare

Fornitori predefiniti

Scopri come implementare un provider di App Check personalizzato:

Fornitori personalizzati

Scopri come utilizzare App Check per proteggere le tue risorse back-end non Firebase:

iOS+ Android Web Flutter