Firebase Uygulama Kontrolü
Uygulama Kontrolü, yetkisiz istemcilerin arka uç kaynaklarınıza erişmesini engelleyerek API kaynaklarınızı kötüye kullanımdan korumaya yardımcı olur. Kaynaklarınızı güvende tutmak için hem Firebase hizmetleri, Google Cloud hizmetleri hem de kendi API'lerinizle birlikte çalışır.
Uygulama Kontrolü ile uygulamanızı çalıştıran cihazlar, aşağıdakilerden birini veya her ikisini de onaylayan bir uygulama veya cihaz doğrulama sağlayıcısı kullanır:
- İstekler, özgün uygulamanızdan kaynaklanır
- İstekler, orijinal, kurcalanmamış bir cihazdan kaynaklanır
Bu onay, uygulamanızın belirttiğiniz API'lere yaptığı her isteğe eklenir. Uygulama Kontrolü yaptırımını etkinleştirdiğinizde, geçerli bir onayı olmayan istemcilerden gelen istekler ve yetkilendirmediğiniz bir uygulama veya platformdan kaynaklanan tüm istekler reddedilecektir.
App Check, aşağıdaki hizmetleri doğrulama sağlayıcıları olarak kullanmak için yerleşik desteğe sahiptir:
- Apple platformlarında DeviceCheck veya Uygulama Onayı
- Android'de Play Integrity veya SafetyNet (kullanımdan kaldırıldı)
- Web uygulamalarında reCAPTCHA v3 veya reCAPTCHA Enterprise
Bunlar ihtiyaçlarınız için yeterli değilse, üçüncü taraf bir tasdik sağlayıcı veya kendi tasdik tekniklerinizi kullanan kendi hizmetinizi de uygulayabilirsiniz.
Uygulama Kontrolü şu anda aşağıdaki Firebase ürünleriyle çalışmaktadır:
Desteklenen Firebase ürünleri |
---|
Gerçek Zamanlı Veritabanı |
Bulut Firestore |
Bulut depolama |
Bulut İşlevleri (çağrılabilir işlevler) |
Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü de kullanabilirsiniz.
başlamaya hazır mısın?
O nasıl çalışır?
Bir hizmet için Uygulama Kontrolünü etkinleştirdiğinizde ve uygulamanıza istemci SDK'sını eklediğinizde, periyodik olarak aşağıdakiler gerçekleşir:
- Uygulamanız, uygulamanın veya cihazın orijinalliğinin (veya sağlayıcıya bağlı olarak her ikisinin) onayını almak için seçtiğiniz sağlayıcıyla etkileşime girer.
- Onay, uygulamada kayıtlı parametreleri kullanarak onayın geçerliliğini doğrulayan ve uygulamanıza bir sona erme süresi olan bir Uygulama Kontrolü belirtecini döndüren Uygulama Kontrolü sunucusuna gönderilir. Bu belirteç, doğruladığı onay materyali hakkında bazı bilgileri tutabilir.
- Uygulama Kontrolü istemci SDK'sı, uygulamanızdaki belirteci önbelleğe alır ve uygulamanızın korumalı hizmetlere yaptığı tüm isteklerle birlikte gönderilmeye hazırdır.
Uygulama Kontrolü tarafından korunan bir hizmet, yalnızca mevcut, geçerli bir Uygulama Kontrolü belirtecinin eşlik ettiği istekleri kabul eder.
Uygulama Kontrolü tarafından sağlanan güvenlik ne kadar güçlü?
Uygulama Kontrolü, uygulama veya cihaz orijinalliğini belirlemek için onay sağlayıcılarının gücüne güvenir. Arka uçlarınıza yönelik kötüye kullanım vektörlerinin tümünü değil, bazılarını önler. Uygulama Kontrolü'nü kullanmak, tüm kötüye kullanımın ortadan kaldırılmasını garanti etmez, ancak Uygulama Kontrolü ile entegre olarak, arka uç kaynaklarınız için kötüye kullanım korumasına yönelik önemli bir adım atmış olursunuz.
Uygulama Kontrolü, Firebase Kimlik Doğrulaması ile nasıl ilişkilidir?
Uygulama Kontrolü ve Firebase Kimlik Doğrulaması, uygulama güvenlik hikayenizin tamamlayıcı parçalarıdır. Firebase Authentication, kullanıcılarınızı koruyan kullanıcı kimlik doğrulaması sağlarken Uygulama Kontrolü, geliştirici olarak sizi koruyan uygulama veya cihaz orijinalliğinin onaylanmasını sağlar. Uygulama Kontrolü, API çağrılarının geçerli bir Firebase Uygulama Kontrolü belirteci içermesini gerektirerek Firebase kaynaklarınıza ve özel arka uçlarınıza erişimi korur. Bu iki kavram, uygulamanızın güvenliğini sağlamaya yardımcı olmak için birlikte çalışır.
Kotalar ve sınırlar
Uygulama Kontrolü kullanımınız, kullandığınız onay sağlayıcılarının kotalarına ve sınırlarına tabidir.
DeviceCheck ve Uygulama Onayı erişimi, Apple tarafından belirlenen kotalara veya sınırlamalara tabidir.
Play Integrity, Standart API kullanım katmanı için günlük 10.000 çağrı kotasına sahiptir. Kullanım katmanınızı yükseltme hakkında bilgi için Play Integrity belgelerine bakın.
SafetyNet'in günlük 10.000 çağrı kotası vardır. Kota artışı talep etme hakkında bilgi için SafetyNet belgelerine bakın.
reCAPTCHA v3'ün aylık 1 milyon çağrı kotası ve 1.000 QPS sınırı vardır. Kota artışı talep etme hakkında bilgi için reCAPTCHA belgelerine bakın.
reCAPTCHA Enterprise, ayda 1 milyon çağrı için ücretsiz ve bunun ötesinde bir maliyete sahiptir. reCAPTCHA Enterprise fiyatlandırmasına bakın.
Başlamak
başlamaya hazır mısın?
Apple platformları
DeviceCheck Uygulaması Onayı
Android
ağ
reCAPTCHA v3 reCAPTCHA Kurumsal
çarpıntı
Özel bir Uygulama Kontrolü sağlayıcısının nasıl uygulanacağını öğrenin:
Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü nasıl kullanacağınızı öğrenin: