Join us in person and online for Firebase Summit on October 18, 2022. Learn how Firebase can help you accelerate app development, release your app with confidence, and scale with ease. Register now
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Verificação de aplicativos do Firebase

O App Check ajuda a proteger seus recursos de API contra abuso, impedindo que clientes não autorizados acessem seus recursos de back-end. Ele funciona com serviços do Firebase, serviços do Google Cloud e suas próprias APIs para manter seus recursos seguros.

Com o App Check, os dispositivos que executam seu aplicativo usarão um provedor de atestado de aplicativo ou dispositivo que atesta um ou ambos os itens a seguir:

  • As solicitações se originam do seu aplicativo autêntico
  • As solicitações se originam de um dispositivo autêntico e inviolável

Esse atestado é anexado a todas as solicitações que seu aplicativo faz às APIs especificadas. Quando você habilita a aplicação do App Check, as solicitações de clientes sem um atestado válido serão rejeitadas, assim como qualquer solicitação originada de um aplicativo ou plataforma que você não tenha autorizado.

O App Check tem suporte integrado para usar os seguintes serviços como provedores de atestado:

Se estes forem insuficientes para suas necessidades, você também pode implementar seu próprio serviço que usa um provedor de atestado de terceiros ou suas próprias técnicas de atestado.

Atualmente, o App Check funciona com os seguintes produtos Firebase:

Produtos compatíveis do Firebase
Banco de dados em tempo real
Cloud Firestore
Armazenamento na núvem
Funções do Cloud (funções que podem ser chamadas)

Você também pode usar o App Check para proteger seus recursos de back-end que não são do Firebase.

Pronto para começar?

iniciar

Como funciona?

Quando você habilita o App Check para um serviço e inclui o SDK do cliente em seu aplicativo, o seguinte acontece periodicamente:

  1. Seu aplicativo interage com o provedor de sua escolha para obter um atestado da autenticidade do aplicativo ou dispositivo (ou ambos, dependendo do provedor).
  2. O atestado é enviado ao servidor do App Check, que verifica a validade do atestado usando parâmetros registrados no aplicativo e retorna ao seu aplicativo um token do App Check com prazo de validade. Esse token pode reter algumas informações sobre o material de atestado verificado.
  3. O SDK do cliente do App Check armazena em cache o token em seu aplicativo, pronto para ser enviado junto com qualquer solicitação que seu aplicativo faça a serviços protegidos.

Um serviço protegido pelo App Check só aceita solicitações acompanhadas de um token de App Check atual e válido.

Quão forte é a segurança fornecida pelo App Check?

O App Check depende da força de seus provedores de atestado para determinar a autenticidade do aplicativo ou do dispositivo. Ele evita alguns, mas não todos, vetores de abuso direcionados aos seus back-ends. O uso do App Check não garante a eliminação de todos os abusos, mas ao integrar-se ao App Check, você está dando um passo importante em direção à proteção contra abusos para seus recursos de back-end.

O App Check e o Firebase Authentication são partes complementares da história de segurança do seu app. O Firebase Authentication fornece autenticação de usuário, que protege seus usuários, enquanto o App Check fornece atestado de autenticidade do aplicativo ou dispositivo, que protege você, o desenvolvedor. O App Check protege o acesso aos seus recursos do Firebase e back-ends personalizados exigindo que as chamadas de API contenham um token válido do Firebase App Check. Esses dois conceitos funcionam juntos para ajudar a proteger seu aplicativo.

Cotas e limites

Seu uso do App Check está sujeito às cotas e limites dos provedores de atestado que você usa.

  • O acesso DeviceCheck e App Attest está sujeito a quaisquer cotas ou limitações definidas pela Apple.

  • O Play Integrity tem uma cota diária de 10.000 chamadas para o nível de uso da API padrão. Para obter informações sobre como aumentar seu nível de uso, consulte a documentação do Play Integrity .

  • SafetyNet tem uma cota diária de 10.000 chamadas. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação do SafetyNet .

  • O reCAPTCHA v3 tem uma cota mensal de 1 milhão de chamadas, além de um limite de 1.000 QPS. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação do reCAPTCHA .

  • O reCAPTCHA Enterprise não tem custo para 1 milhão de chamadas por mês e tem um custo além disso. Consulte preços do reCAPTCHA Enterprise .

iniciar

Pronto para começar?

Plataformas da Apple

Atestado do aplicativo DeviceCheck

Android

Play Integrity SafetyNet

Rede

reCAPTCHA v3 reCAPTCHA Enterprise

Flutuar

Provedores padrão

Saiba como implementar um provedor personalizado do App Check:

Provedores personalizados

Saiba como usar o App Check para proteger seus recursos de back-end que não são do Firebase:

Flutter da Web iOS+ Android

,

Verificação de aplicativos do Firebase

O App Check ajuda a proteger seus recursos de API contra abuso, impedindo que clientes não autorizados acessem seus recursos de back-end. Ele funciona com serviços do Firebase, serviços do Google Cloud e suas próprias APIs para manter seus recursos seguros.

Com o App Check, os dispositivos que executam seu aplicativo usarão um provedor de atestado de aplicativo ou dispositivo que atesta um ou ambos os itens a seguir:

  • As solicitações se originam do seu aplicativo autêntico
  • As solicitações se originam de um dispositivo autêntico e inviolável

Esse atestado é anexado a todas as solicitações que seu aplicativo faz às APIs especificadas. Quando você habilita a aplicação do App Check, as solicitações de clientes sem um atestado válido serão rejeitadas, assim como qualquer solicitação originada de um aplicativo ou plataforma que você não tenha autorizado.

O App Check tem suporte integrado para usar os seguintes serviços como provedores de atestado:

Se estes forem insuficientes para suas necessidades, você também pode implementar seu próprio serviço que usa um provedor de atestado de terceiros ou suas próprias técnicas de atestado.

Atualmente, o App Check funciona com os seguintes produtos Firebase:

Produtos compatíveis do Firebase
Banco de dados em tempo real
Cloud Firestore
Armazenamento na núvem
Funções do Cloud (funções que podem ser chamadas)

Você também pode usar o App Check para proteger seus recursos de back-end que não são do Firebase.

Pronto para começar?

iniciar

Como funciona?

Quando você habilita o App Check para um serviço e inclui o SDK do cliente em seu aplicativo, o seguinte acontece periodicamente:

  1. Seu aplicativo interage com o provedor de sua escolha para obter um atestado da autenticidade do aplicativo ou dispositivo (ou ambos, dependendo do provedor).
  2. O atestado é enviado ao servidor do App Check, que verifica a validade do atestado usando parâmetros registrados no aplicativo e retorna ao seu aplicativo um token do App Check com prazo de validade. Esse token pode reter algumas informações sobre o material de atestado verificado.
  3. O SDK do cliente do App Check armazena em cache o token em seu aplicativo, pronto para ser enviado junto com qualquer solicitação que seu aplicativo faça a serviços protegidos.

Um serviço protegido pelo App Check só aceita solicitações acompanhadas de um token de App Check atual e válido.

Quão forte é a segurança fornecida pelo App Check?

O App Check depende da força de seus provedores de atestado para determinar a autenticidade do aplicativo ou do dispositivo. Ele evita alguns, mas não todos, vetores de abuso direcionados aos seus back-ends. O uso do App Check não garante a eliminação de todos os abusos, mas ao integrar-se ao App Check, você está dando um passo importante em direção à proteção contra abusos para seus recursos de back-end.

O App Check e o Firebase Authentication são partes complementares da história de segurança do seu app. O Firebase Authentication fornece autenticação de usuário, que protege seus usuários, enquanto o App Check fornece atestado de autenticidade do aplicativo ou dispositivo, que protege você, o desenvolvedor. O App Check protege o acesso aos seus recursos do Firebase e back-ends personalizados exigindo que as chamadas de API contenham um token válido do Firebase App Check. Esses dois conceitos funcionam juntos para ajudar a proteger seu aplicativo.

Cotas e limites

Seu uso do App Check está sujeito às cotas e limites dos provedores de atestado que você usa.

  • O acesso DeviceCheck e App Attest está sujeito a quaisquer cotas ou limitações definidas pela Apple.

  • O Play Integrity tem uma cota diária de 10.000 chamadas para o nível de uso da API padrão. Para obter informações sobre como aumentar seu nível de uso, consulte a documentação do Play Integrity .

  • SafetyNet tem uma cota diária de 10.000 chamadas. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação do SafetyNet .

  • O reCAPTCHA v3 tem uma cota mensal de 1 milhão de chamadas, além de um limite de 1.000 QPS. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação do reCAPTCHA .

  • O reCAPTCHA Enterprise não tem custo para 1 milhão de chamadas por mês e tem um custo além disso. Consulte preços do reCAPTCHA Enterprise .

iniciar

Pronto para começar?

Plataformas da Apple

Atestado do aplicativo DeviceCheck

Android

Play Integrity SafetyNet

Rede

reCAPTCHA v3 reCAPTCHA Enterprise

Flutuar

Provedores padrão

Saiba como implementar um provedor personalizado do App Check:

Provedores personalizados

Saiba como usar o App Check para proteger seus recursos de back-end que não são do Firebase:

Flutter da Web iOS+ Android