ตรวจสอบแอป Firebase
App Check ช่วยปกป้องทรัพยากร API ของคุณจากการละเมิดโดยป้องกันไม่ให้ไคลเอนต์ที่ไม่ได้รับอนุญาตเข้าถึงทรัพยากรแบ็กเอนด์ของคุณ ใช้งานได้กับทั้งบริการ Firebase, บริการ Google Cloud และ API ของคุณเองเพื่อรักษาทรัพยากรของคุณให้ปลอดภัย
ด้วย App Check อุปกรณ์ที่เรียกใช้แอปของคุณจะใช้แอปหรือผู้ให้บริการรับรองอุปกรณ์ที่รับรองสิ่งใดสิ่งหนึ่งหรือทั้งสองสิ่งต่อไปนี้:
- คำขอมาจากแอปที่แท้จริงของคุณ
- คำขอมาจากอุปกรณ์ของแท้และไม่มีการดัดแปลง
เอกสารรับรองนี้แนบมากับทุกคำขอที่แอปของคุณส่งไปยัง API ที่คุณระบุ เมื่อคุณเปิดใช้การบังคับใช้ App Check คำขอจากลูกค้าที่ไม่มีการรับรองที่ถูกต้องจะถูกปฏิเสธ เช่นเดียวกับคำขอใดๆ ที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้อนุญาต
App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้ในฐานะผู้ให้บริการรับรอง:
- DeviceCheck หรือ App Attest บนแพลตฟอร์ม Apple
- เล่น Integrity หรือ SafetyNet (เลิกใช้แล้ว) บน Android
- reCAPTCHA v3 หรือ reCAPTCHA Enterprise บนเว็บแอป
หากสิ่งเหล่านี้ไม่เพียงพอสำหรับความต้องการของคุณ คุณยังสามารถใช้บริการของคุณเองโดยใช้ผู้ให้บริการการรับรองบุคคลที่สามหรือเทคนิคการรับรองของคุณเอง
ขณะนี้ App Check ใช้งานได้กับผลิตภัณฑ์ Firebase ต่อไปนี้:
ผลิตภัณฑ์ Firebase ที่รองรับ |
---|
ฐานข้อมูลเรียลไทม์ |
Cloud Firestore |
การจัดเก็บเมฆ |
ฟังก์ชั่นคลาวด์ (ฟังก์ชั่นที่เรียกได้) |
คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase ได้อีกด้วย
พร้อมที่จะเริ่มต้นหรือยัง
มันทำงานอย่างไร?
เมื่อคุณเปิดใช้งาน App Check สำหรับบริการและรวมไคลเอ็นต์ SDK ในแอปของคุณ สิ่งต่อไปนี้จะเกิดขึ้นเป็นระยะ:
- แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อรับการรับรองความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้งสองอย่าง ขึ้นอยู่กับผู้ให้บริการ)
- การรับรองจะถูกส่งไปยังเซิร์ฟเวอร์ App Check ซึ่งจะตรวจสอบความถูกต้องของการรับรองโดยใช้พารามิเตอร์ที่ลงทะเบียนกับแอป และส่งคืนโทเค็น App Check ที่มีเวลาหมดอายุไปยังแอปของคุณ โทเค็นนี้อาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรองที่ตรวจสอบแล้ว
- SDK ไคลเอ็นต์การตรวจสอบแอปจะแคชโทเค็นในแอปของคุณ พร้อมที่จะส่งไปพร้อมกับคำขอที่แอปของคุณส่งไปยังบริการที่ได้รับการป้องกัน
บริการที่ได้รับการคุ้มครองโดย App Check ยอมรับเฉพาะคำขอที่มาพร้อมกับโทเค็น App Check ที่ถูกต้องในปัจจุบันเท่านั้น
App Check มีความปลอดภัยสูงเพียงใด?
App Check อาศัยความแข็งแกร่งของผู้ให้บริการรับรองในการพิจารณาความถูกต้องของแอปหรืออุปกรณ์ มันป้องกันเวกเตอร์ที่ไม่เหมาะสมบางส่วน แต่ไม่ใช่ทั้งหมดซึ่งมุ่งไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่าจะกำจัดการละเมิดทั้งหมด แต่การผสานรวมกับ App Check แสดงว่าคุณกำลังดำเนินการขั้นตอนสำคัญต่อการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์ของคุณ
App Check เกี่ยวข้องกับการตรวจสอบสิทธิ์ Firebase อย่างไร
App Check และ Firebase Authentication เป็นส่วนเสริมของเรื่องราวความปลอดภัยของแอป การตรวจสอบสิทธิ์ Firebase ให้การรับรองความถูกต้องของผู้ใช้ ซึ่งปกป้องผู้ใช้ของคุณ ในขณะที่ App Check ให้การรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งจะปกป้องคุณซึ่งเป็นนักพัฒนาซอฟต์แวร์ App Check ปกป้องการเข้าถึงทรัพยากร Firebase และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้มีการเรียก API เพื่อให้มีโทเค็น Firebase App Check ที่ถูกต้อง แนวคิดทั้งสองนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอปของคุณ
โควต้าและขีดจำกัด
การใช้ App Check ของคุณขึ้นอยู่กับโควต้าและข้อจำกัดของผู้ให้บริการรับรองที่คุณใช้
การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดใดๆ ที่ Apple กำหนด
Play Integrity มีโควตา 10,000 ครั้งต่อวันสำหรับระดับการใช้งาน API มาตรฐาน สำหรับข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งานของคุณ โปรดดู เอกสาร Play Integrity
SafetyNet มีโควตา 10,000 สายต่อวัน สำหรับข้อมูลเกี่ยวกับการขอเพิ่มโควต้า โปรดดู เอกสารของ SafetyNet
reCAPTCHA v3 มีโควต้า 1 ล้านการโทรต่อเดือน และจำกัด QPS 1,000 ครั้ง สำหรับข้อมูลเกี่ยวกับการขอเพิ่มโควต้า โปรดดู เอกสารประกอบ reCAPTCHA
reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการโทร 1 ล้านครั้งต่อเดือน และมีค่าใช้จ่ายมากกว่านั้น ดู ราคา reCAPTCHA Enterprise
เริ่ม
พร้อมที่จะเริ่มต้นหรือยัง
แพลตฟอร์ม Apple
DeviceCheck App Attest
Android
เว็บ
reCAPTCHA v3 reCAPTCHA Enterprise
กระพือปีก
เรียนรู้วิธีใช้งานผู้ให้บริการ App Check แบบกำหนดเอง:
เรียนรู้วิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase: