Catch up on highlights from Firebase at Google I/O 2023. Learn more

Firebase Uygulama Kontrolü

Uygulama Kontrolü, yetkisiz istemcilerin arka uç kaynaklarınıza erişmesini engelleyerek API kaynaklarınızı kötüye kullanıma karşı korumaya yardımcı olur. Kaynaklarınızı güvende tutmak için hem Firebase hizmetleri, Google Cloud hizmetleri hem de kendi API'lerinizle birlikte çalışır.

Uygulama Kontrolü ile uygulamanızı çalıştıran cihazlar, aşağıdakilerden birini veya her ikisini birden doğrulayan bir uygulama veya cihaz doğrulama sağlayıcısı kullanır:

  • İstekler, orijinal uygulamanızdan kaynaklanır
  • İstekler orijinal, kurcalanmamış bir cihazdan geliyor

Bu tasdik, uygulamanızın belirttiğiniz API'lere yaptığı her isteğe eklenir. Uygulama Kontrolü uygulamasını etkinleştirdiğinizde, yetkilendirmediğiniz bir uygulamadan veya platformdan kaynaklanan tüm talepler gibi, geçerli bir tasdiki olmayan istemcilerden gelen talepler reddedilecektir.

App Check, aşağıdaki hizmetleri doğrulama sağlayıcıları olarak kullanmak için yerleşik desteğe sahiptir:

Bunlar ihtiyaçlarınız için yeterli değilse, üçüncü taraf bir tasdik sağlayıcı veya kendi tasdik tekniklerinizi kullanan kendi hizmetinizi de uygulayabilirsiniz.

Uygulama Kontrolü şu anda aşağıdaki Firebase ürünleriyle çalışmaktadır:

Desteklenen Firebase ürünleri
Gerçek Zamanlı Veritabanı
Bulut Firestore
Bulut depolama
Bulut İşlevleri (çağrılabilir işlevler)
Kimlik doğrulama (beta; Firebase Authentication with Identity Platform'a yükseltme gerektirir)

Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü de kullanabilirsiniz.

başlamaya hazır mısın?

Başlamak

O nasıl çalışır?

Bir hizmet için Uygulama Kontrolü'nü etkinleştirdiğinizde ve uygulamanıza istemci SDK'sını eklediğinizde, aşağıdakiler düzenli olarak gerçekleşir:

  1. Uygulamanız, uygulamanın veya cihazın orijinalliğine (veya sağlayıcıya bağlı olarak her ikisine) ilişkin bir onay almak için seçtiğiniz sağlayıcıyla etkileşime girer.
  2. Tasdik, uygulama ile kayıtlı parametreleri kullanarak tasdikin geçerliliğini doğrulayan ve uygulamanıza bir sona erme süresi olan bir Uygulama Kontrolü jetonu döndüren Uygulama Kontrolü sunucusuna gönderilir. Bu belirteç, doğruladığı tasdik materyali hakkında bazı bilgiler içerebilir.
  3. App Check istemci SDK'sı, uygulamanızın korumalı hizmetlere yaptığı tüm isteklerle birlikte gönderilmeye hazır olan belirteci uygulamanızda önbelleğe alır.

Uygulama Kontrolü tarafından korunan bir hizmet, yalnızca geçerli, geçerli bir Uygulama Kontrolü belirtecinin eşlik ettiği istekleri kabul eder.

App Check tarafından sağlanan güvenlik ne kadar güçlü?

Uygulama Kontrolü, uygulama veya cihaz orijinalliğini belirlemek için tasdik sağlayıcılarının gücüne güvenir. Arka uçlarınıza yönelik kötüye kullanım vektörlerinin tümünü olmasa da bazılarını engeller. Uygulama Kontrolü'nü kullanmak, tüm kötüye kullanımların ortadan kaldırılacağını garanti etmez, ancak Uygulama Kontrolü ile entegre olarak, arka uç kaynaklarınız için kötüye kullanıma karşı korumaya yönelik önemli bir adım atmış olursunuz.

Uygulama Kontrolü ve Firebase Kimlik Doğrulaması, uygulama güvenlik hikayenizin tamamlayıcı parçalarıdır. Firebase Authentication, kullanıcılarınızı koruyan kullanıcı kimlik doğrulaması sağlarken Uygulama Kontrolü, geliştirici olarak sizi koruyan uygulama veya cihaz orijinalliğinin onaylanmasını sağlar. Uygulama Kontrolü, API çağrılarının geçerli bir Firebase Uygulama Kontrolü belirteci içermesini zorunlu kılarak Firebase kaynaklarınıza ve özel arka uçlarınıza erişimi korur. Bu iki kavram, uygulamanızın güvenliğini sağlamaya yardımcı olmak için birlikte çalışır.

Kotalar ve limitler

App Check kullanımınız, kullandığınız tasdik sağlayıcılarının kotalarına ve limitlerine tabidir.

  • DeviceCheck ve Uygulama Onayı erişimi, Apple tarafından belirlenen tüm kotalara veya sınırlamalara tabidir.

  • Play Integrity'nin Standart API kullanım katmanı için günlük 10.000 arama kotası vardır. Kullanım seviyenizi yükseltme hakkında bilgi için Play Integrity belgelerine bakın.

  • SafetyNet'in günlük 10.000 arama kotası vardır. Kota artışı talep etme hakkında bilgi için, SafetyNet belgelerine bakın.

  • reCAPTCHA v3'ün aylık 1 milyon arama kotası ve 1.000 QPS sınırı vardır. Kota artışı talep etme hakkında bilgi için reCAPTCHA belgelerine bakın.

  • reCAPTCHA Enterprise, ayda 1 milyon arama için ücretsiz ve bunun ötesinde bir maliyetle. reCAPTCHA Enterprise fiyatlandırmasına bakın.

Başlamak

başlamaya hazır mısın?

elma platformları

DeviceCheck Uygulama Onayı

Android

Dürüstlük Oyna

reCAPTCHA v3 reCAPTCHA Enterprise

çarpıntı

Varsayılan sağlayıcılar

C++

Varsayılan sağlayıcılar

Birlik

Varsayılan sağlayıcılar

Özel bir Uygulama Kontrolü sağlayıcısını nasıl uygulayacağınızı öğrenin:

Özel sağlayıcılar

Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü nasıl kullanacağınızı öğrenin:

iOS+ Android Web Çarpıntısı