Firebase App Check

App Check contribuisce a proteggere i backend delle app da comportamenti illeciti impedendo a client non autorizzati di accedere alle risorse di backend. Funziona sia con i servizi Google (inclusi Firebase e i servizi Google Cloud) sia con i tuoi backend personalizzati per proteggere le tue risorse.

Con App Check, i dispositivi che eseguono la tua app utilizzeranno un provider di attestazione di app o dispositivo che attesta una o entrambe le seguenti condizioni:

  • Le richieste provengono dalla tua app autentica
  • Le richieste provengono da un dispositivo autentico e non manomesso

Questa attestazione viene allegata a ogni richiesta che la tua app invia alle API che specifichi. Quando attivi l'applicazione di App Check, le richieste provenienti da client senza un'attestazione valida verranno rifiutate, così come qualsiasi richiesta proveniente da un'app o una piattaforma che non hai autorizzato.

App Check supporta l'utilizzo dei seguenti servizi come fornitori di attestazione:

Se queste non sono sufficienti per le tue esigenze, puoi anche implementare un tuo servizio che utilizzi un provider di attestazione di terze parti o le tue tecniche di attestazione.

App Check funziona con i seguenti servizi Google:

Servizi Firebase e Google Cloud supportati
Firebase Authentication (anteprima)
Firebase Data Connect
Cloud Firestore
Firebase Realtime Database
Cloud Storage for Firebase
Cloud Functions for Firebase (solo funzioni chiamabili)
Firebase AI Logic
Servizi Google Maps Platform supportati
API Maps JavaScript (anteprima)
API Places (New) (anteprima)
Altri servizi Google supportati
Google Identity per iOS

Puoi anche utilizzare App Check per proteggere le risorse di backend personalizzate non Google, come il tuo backend self-hosted.

Scopri come iniziare

Come funziona?

Quando attivi App Check per un servizio e includi l'SDK client nella tua app, si verifica periodicamente quanto segue:

  1. La tua app interagisce con il fornitore di tua scelta per ottenere un'attestazione dell'autenticità dell'app o del dispositivo (o di entrambi, a seconda del fornitore).
  2. L'attestazione viene inviata al server App Check, che ne verifica la validità utilizzando i parametri registrati con l'app e restituisce alla tua app un token App Check con un tempo di scadenza. Questo token potrebbe conservare alcune informazioni sul materiale di attestazione che ha verificato.
  3. L'SDK client App Check memorizza nella cache il token nella tua app, pronto per essere inviato insieme a tutte le richieste che la tua app effettua ai servizi protetti.

Un servizio protetto da App Check accetta solo richieste accompagnate da un token App Check valido e attuale.

Qual è il livello di sicurezza fornito da App Check?

App Check si basa sulla solidità dei suoi fornitori di attestazione per determinare l'autenticità di app o dispositivi. Impedisce alcuni, ma non tutti, i vettori di abuso diretti ai tuoi backend. L'utilizzo di App Check non garantisce l'eliminazione di tutti i comportamenti illeciti, ma l'integrazione con App Check rappresenta un passo importante verso la protezione dai comportamenti illeciti per le risorse di backend.

App Check e Firebase Authentication sono parti complementari della storia della sicurezza della tua app. Firebase Authentication fornisce l'autenticazione utente, che protegge i tuoi utenti, mentre App Check fornisce l'attestazione dell'autenticità dell'app o del dispositivo, che protegge te, lo sviluppatore. App Check protegge l'accesso alle risorse di backend di Google e ai backend personalizzati richiedendo che le chiamate API contengano un token App Check valido. Questi due concetti collaborano per proteggere la tua app.

Quote e limiti

L'utilizzo di App Check è soggetto alle quote e ai limiti dei fornitori di attestazioni che utilizzi.

  • L'accesso a DeviceCheck e App Attest è soggetto a eventuali quote o limitazioni impostate da Apple.

  • Play Integrity ha una quota giornaliera di 10.000 chiamate per il suo livello di utilizzo dell'API Standard. Per informazioni sull'aumento del livello di utilizzo, consulta la documentazione di Play Integrity.

  • reCAPTCHA Enterprise è senza costi per 10.000 test al mese e ha un costo oltre questa soglia. Consulta i prezzi di reCAPTCHA.

Inizia

Iniziamo?

Piattaforme Apple

DeviceCheck App Attest

Android

Play Integrity

Web

reCAPTCHA Enterprise

Flutter

Fornitori predefiniti

Unity

Fornitori predefiniti

C++

Fornitori predefiniti

Scopri come implementare un fornitore App Check personalizzato

Fornitori personalizzati

Scopri come utilizzare App Check per proteggere le risorse di backend personalizzate

Seleziona la tua piattaforma:

iOS+ Android Web Flutter Unity C++