Firebase Uygulama Kontrolü
Uygulama Kontrolü, yetkisiz istemcilerin arka uç kaynaklarınıza erişmesini engelleyerek API kaynaklarınızı kötüye kullanıma karşı korumaya yardımcı olur. Kaynaklarınızı güvende tutmak için hem Firebase hizmetleri, Google Cloud hizmetleri hem de kendi API'lerinizle birlikte çalışır.
Uygulama Kontrolü ile uygulamanızı çalıştıran cihazlar, aşağıdakilerden birini veya her ikisini birden doğrulayan bir uygulama veya cihaz doğrulama sağlayıcısı kullanır:
- İstekler, orijinal uygulamanızdan kaynaklanır
- İstekler orijinal, kurcalanmamış bir cihazdan geliyor
Bu tasdik, uygulamanızın belirttiğiniz API'lere yaptığı her isteğe eklenir. Uygulama Kontrolü uygulamasını etkinleştirdiğinizde, yetkilendirmediğiniz bir uygulamadan veya platformdan kaynaklanan tüm talepler gibi, geçerli bir tasdiki olmayan istemcilerden gelen talepler reddedilecektir.
App Check, aşağıdaki hizmetleri doğrulama sağlayıcıları olarak kullanmak için yerleşik desteğe sahiptir:
- Apple platformlarında DeviceCheck veya Uygulama Onayı
- Android'de Integrity veya SafetyNet (kullanımdan kaldırıldı) oynayın
- Web uygulamalarında reCAPTCHA v3 veya reCAPTCHA Enterprise
Bunlar ihtiyaçlarınız için yeterli değilse, üçüncü taraf bir tasdik sağlayıcı veya kendi tasdik tekniklerinizi kullanan kendi hizmetinizi de uygulayabilirsiniz.
Uygulama Kontrolü şu anda aşağıdaki Firebase ürünleriyle çalışmaktadır:
| Desteklenen Firebase ürünleri |
|---|
| Gerçek Zamanlı Veritabanı |
| Bulut Firestore |
| Bulut depolama |
| Bulut İşlevleri (çağrılabilir işlevler) |
| Kimlik doğrulama (beta; Firebase Authentication with Identity Platform'a yükseltme gerektirir) |
Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü de kullanabilirsiniz.
başlamaya hazır mısın?
O nasıl çalışır?
Bir hizmet için Uygulama Kontrolü'nü etkinleştirdiğinizde ve uygulamanıza istemci SDK'sını eklediğinizde, aşağıdakiler düzenli olarak gerçekleşir:
- Uygulamanız, uygulamanın veya cihazın orijinalliğine (veya sağlayıcıya bağlı olarak her ikisine) ilişkin bir onay almak için seçtiğiniz sağlayıcıyla etkileşime girer.
- Tasdik, uygulama ile kayıtlı parametreleri kullanarak tasdikin geçerliliğini doğrulayan ve uygulamanıza bir sona erme süresi olan bir Uygulama Kontrolü jetonu döndüren Uygulama Kontrolü sunucusuna gönderilir. Bu belirteç, doğruladığı tasdik materyali hakkında bazı bilgiler içerebilir.
- App Check istemci SDK'sı, uygulamanızın korumalı hizmetlere yaptığı tüm isteklerle birlikte gönderilmeye hazır olan belirteci uygulamanızda önbelleğe alır.
Uygulama Kontrolü tarafından korunan bir hizmet, yalnızca geçerli, geçerli bir Uygulama Kontrolü belirtecinin eşlik ettiği istekleri kabul eder.
App Check tarafından sağlanan güvenlik ne kadar güçlü?
Uygulama Kontrolü, uygulama veya cihaz orijinalliğini belirlemek için tasdik sağlayıcılarının gücüne güvenir. Arka uçlarınıza yönelik kötüye kullanım vektörlerinin tümünü olmasa da bazılarını engeller. Uygulama Kontrolü'nü kullanmak, tüm kötüye kullanımların ortadan kaldırılacağını garanti etmez, ancak Uygulama Kontrolü ile entegre olarak, arka uç kaynaklarınız için kötüye kullanıma karşı korumaya yönelik önemli bir adım atmış olursunuz.
Uygulama Kontrolü, Firebase Kimlik Doğrulaması ile nasıl ilişkilidir?
Uygulama Kontrolü ve Firebase Kimlik Doğrulaması, uygulama güvenlik hikayenizin tamamlayıcı parçalarıdır. Firebase Authentication, kullanıcılarınızı koruyan kullanıcı kimlik doğrulaması sağlarken Uygulama Kontrolü, geliştirici olarak sizi koruyan uygulama veya cihaz orijinalliğinin onaylanmasını sağlar. Uygulama Kontrolü, API çağrılarının geçerli bir Firebase Uygulama Kontrolü belirteci içermesini zorunlu kılarak Firebase kaynaklarınıza ve özel arka uçlarınıza erişimi korur. Bu iki kavram, uygulamanızın güvenliğini sağlamaya yardımcı olmak için birlikte çalışır.
Kotalar ve limitler
App Check kullanımınız, kullandığınız tasdik sağlayıcılarının kotalarına ve limitlerine tabidir.
DeviceCheck ve Uygulama Onayı erişimi, Apple tarafından belirlenen tüm kotalara veya sınırlamalara tabidir.
Play Integrity'nin Standart API kullanım katmanı için günlük 10.000 arama kotası vardır. Kullanım seviyenizi yükseltme hakkında bilgi için Play Integrity belgelerine bakın.
SafetyNet'in günlük 10.000 arama kotası vardır. Kota artışı talep etme hakkında bilgi için, SafetyNet belgelerine bakın.
reCAPTCHA v3'ün aylık 1 milyon arama kotası ve 1.000 QPS sınırı vardır. Kota artışı talep etme hakkında bilgi için reCAPTCHA belgelerine bakın.
reCAPTCHA Enterprise, ayda 1 milyon arama için ücretsiz ve bunun ötesinde bir maliyetle. reCAPTCHA Enterprise fiyatlandırmasına bakın.
Başlamak
başlamaya hazır mısın?
elma platformları
Android
ağ
reCAPTCHA v3 reCAPTCHA Enterprise
çarpıntı
C++
Birlik
Özel bir Uygulama Kontrolü sağlayıcısını nasıl uygulayacağınızı öğrenin:
Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü nasıl kullanacağınızı öğrenin: