Controllo dell'app Firebase
App Check aiuta a proteggere le tue risorse API dagli abusi impedendo a client non autorizzati di accedere alle tue risorse back-end. Funziona sia con i servizi Firebase, sia con i servizi Google Cloud e con le tue API per mantenere le tue risorse al sicuro.
Con App Check, i dispositivi che eseguono la tua app utilizzeranno un provider di attestazione dell'app o del dispositivo che attesta uno o entrambi i seguenti elementi:
- Le richieste provengono dalla tua app autentica
- Le richieste provengono da un dispositivo autentico e non manomesso
Questa attestazione è allegata a ogni richiesta effettuata dalla tua app alle API specificate. Quando abiliti l'applicazione di App Check, le richieste dei client senza un'attestazione valida verranno rifiutate, così come qualsiasi richiesta proveniente da un'app o una piattaforma non autorizzata.
App Check dispone del supporto integrato per l'utilizzo dei seguenti servizi come provider di attestazioni:
- DeviceCheck o App Attest sulle piattaforme Apple
- Gioca a Integrity o SafetyNet (obsoleto) su Android
- reCAPTCHA Enterprise su app Web.
Se questi non sono sufficienti per le tue esigenze, puoi anche implementare il tuo servizio che utilizza un fornitore di attestazioni di terze parti o le tue tecniche di attestazione.
App Check attualmente funziona con i seguenti prodotti Firebase:
| Prodotti Firebase supportati |
|---|
| Banca dati in tempo reale |
| Cloud Fire Store |
| Archiviazione nel cloud |
| Funzioni Cloud (funzioni richiamabili) |
| Autenticazione (beta; richiede l'aggiornamento all'autenticazione Firebase con Identity Platform ) |
Puoi anche utilizzare App Check per proteggere le tue risorse backend non Firebase.
Pronti per iniziare?
Come funziona?
Quando abiliti App Check per un servizio e includi l'SDK client nella tua app, periodicamente si verifica quanto segue:
- La tua app interagisce con il fornitore di tua scelta per ottenere un'attestazione dell'autenticità dell'app o del dispositivo (o entrambi, a seconda del fornitore).
- L'attestazione viene inviata al server App Check, che verifica la validità dell'attestazione utilizzando i parametri registrati con l'app e restituisce all'app un token App Check con una data di scadenza. Questo token potrebbe conservare alcune informazioni sul materiale di attestazione verificato.
- L'SDK del client App Check memorizza nella cache il token nella tua app, pronto per essere inviato insieme a qualsiasi richiesta effettuata dall'app ai servizi protetti.
Un servizio protetto da App Check accetta solo richieste accompagnate da un token App Check valido e corrente.
Quanto è forte la sicurezza fornita da App Check?
App Check si affida alla forza dei suoi fornitori di attestazioni per determinare l'autenticità dell'app o del dispositivo. Previene alcuni, ma non tutti, i vettori di abuso diretti verso i tuoi backend. L'utilizzo di App Check non garantisce l'eliminazione di tutti gli abusi, ma integrandosi con App Check, stai compiendo un passo importante verso la protezione dagli abusi per le tue risorse backend.
In che modo App Check è correlato all'autenticazione Firebase?
App Check e Firebase Authentication sono parti complementari della storia della sicurezza della tua app. Firebase Authentication fornisce l'autenticazione utente, che protegge i tuoi utenti, mentre App Check fornisce l'attestazione dell'autenticità dell'app o del dispositivo, che protegge te, lo sviluppatore. App Check protegge l'accesso alle risorse Firebase e ai backend personalizzati richiedendo che le chiamate API contengano un token Firebase App Check valido. Questi due concetti lavorano insieme per proteggere la tua app.
Quote e limiti
L'utilizzo di App Check è soggetto alle quote e ai limiti dei fornitori di attestazioni che utilizzi.
L'accesso a DeviceCheck e App Attest è soggetto a quote o limitazioni stabilite da Apple.
Play Integrity ha una quota giornaliera di 10.000 chiamate per il livello di utilizzo dell'API Standard. Per informazioni sull'aumento del livello di utilizzo, consulta la documentazione di Play Integrity .
SafetyNet ha una quota giornaliera di 10.000 chiamate. Per informazioni su come richiedere un aumento di quota, consultare la documentazione di SafetyNet .
reCAPTCHA Enterprise è gratuito per 1 milione di chiamate al mese e oltre tale soglia è a pagamento. Consulta i prezzi di reCAPTCHA Enterprise .
Iniziare
Pronti per iniziare?
Piattaforme Apple
Attestazione dell'app DeviceCheck
Androide
ragnatela
Svolazzare
C++
Unità
Scopri come implementare un provider App Check personalizzato:
Scopri come utilizzare App Check per proteggere le tue risorse backend non Firebase: