Firebase App Check

App Check verhindert, dass Ihre Anwendungs-Back-Ends vor Missbrauch geschützt werden, indem sie Folgendes verhindert: können nicht autorisierte Clients auf Ihre Back-End-Ressourcen zugreifen. Funktioniert mit Google-Dienste (einschließlich Firebase- und Google Cloud-Dienste) und Ihre eigene Back-Ends, um Ihre Ressourcen zu schützen.

Mit App Check verwenden Geräte, auf denen deine App ausgeführt wird, eine App oder ein Gerät Bescheinigungsanbieter, der mindestens eines der folgenden Kriterien erfüllt:

  • Anfragen stammen von Ihrer authentischen App
  • Anfragen stammen von einem authentischen, manipulierten Gerät

Diese Attestierung wird an jede Anfrage angehängt, die Ihre App an die von Ihnen angeben. Wenn Sie die Erzwingung von App Check aktivieren, werden Anfragen von Clients ohne gültige Attestierung abgelehnt. Das gilt auch für Anfragen von Apps oder Plattformen, die Sie nicht autorisiert haben.

App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Attestierungsanbieter:

Wenn diese für Ihre Anforderungen nicht ausreichen, können Sie auch Ihre eigenen Dienst, der entweder einen Drittanbieter oder Ihren eigenen Attestierungsdienst verwendet Attestierungstechniken.

App Check funktioniert mit den folgenden Google-Diensten:

Unterstützte Google-Dienste
Realtime Database
Cloud Firestore
Cloud Storage
Cloud Functions (aufrufbare Funktionen)
Authentication (Beta; Upgrade auf Firebase Authentication with Identity Platform erforderlich)
Google Identity for iOS (Beta)
Vertex AI in Firebase (Vorschau)

Sie können auch App Check verwenden, um Ihre Backend-Ressourcen zu schützen, die nicht von Google stammen.

Erste Schritte

Funktionsweise

Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einbinden, geschieht Folgendes regelmäßig:

  1. Deine App interagiert mit dem Anbieter deiner Wahl, um eine Bestätigung zu erhalten der Authentizität der App oder des Geräts (oder beides, je nach Anbieter).
  2. Die Attestierung wird an den App Check-Server gesendet, der die Gültigkeit der Attestierung mithilfe von Parametern, die in der Anwendung registriert sind gibt ein App Check-Token mit Ablaufzeit an Ihre Anwendung zurück. Dieses Token kann einige Informationen zum Attestierungsmaterial enthalten, das überprüft wurde.
  3. Das App Check-Client-SDK speichert das Token in Ihrer App und sendet es zusammen mit allen Anfragen Ihrer App an geschützte Dienste.

Ein durch App Check geschützter Dienst akzeptiert nur Anfragen, die begleitet sind durch ein aktuelles, gültiges App Check-Token.

Wie sicher ist App Check?

App Check stützt sich bei der Bestimmung auf die Stärke seiner Attestierungsanbieter App- oder Geräte-Authentizität. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Back-Ends gerichtet sind. Die Verwendung von App Check kann nicht garantieren, dass Missbrauch vollständig verhindert wird. Durch die Einbindung von App Check gehen Sie jedoch einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.

App Check und Firebase Authentication sind komplementäre Teile Ihrer App-Sicherheitsgeschichte. Firebase Authentication bietet eine Nutzerauthentifizierung, die Ihr Nutzer, während App Check die Authentizität von Apps oder Geräten bestätigt, das Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihr Google-Konto Back-End-Ressourcen und benutzerdefinierte Back-Ends, indem Sie festlegen, dass API-Aufrufe ein gültiges App Check Token. Diese beiden Konzepte tragen zusammen zum Schutz Ihrer App bei.

Kontingente und Limits

Deine Verwendung von App Check unterliegt den Kontingenten und Limits der Attestierung die Sie nutzen.

  • Der Zugriff auf DeviceCheck und App Attest unterliegt allen festgelegten Kontingenten oder Beschränkungen von Apple.

  • Play Integrity hat für die Standard-API-Nutzung ein Tageskontingent von 10.000 Aufrufen Stufe. Informationen zum Erhöhen Ihrer Nutzungsstufe finden Sie in der Play Integrity-Dokumentation

  • SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Informationen zum Anfordern eines Informationen zur Kontingenterhöhung finden Sie in der SafetyNet-Dokumentation.

  • reCAPTCHA Enterprise ist für 10.000 Bewertungen pro Monat kostenlos und bietet eine darüber hinaus die Kosten. Siehe reCAPTCHA-Preise.

Jetzt starten

Startbereit?

Apple-Plattformen

Geräteprüfung App Attest

Android

Play Integrity

Web

reCAPTCHA Enterprise

Flutter

Standardanbieter

C++

Standardanbieter

Einheit

Standardanbieter

Informationen zum Implementieren eines benutzerdefinierten App Check-Anbieters

Benutzerdefinierte Anbieter

Hier erfahren Sie, wie Sie mit App Check Ihre Backend-Ressourcen schützen, die nicht von Google stammen

Plattform auswählen:

iOS oder höher Android-Gerät Web Flattern