Controllo dell'app Firebase
App Check aiuta a proteggere le tue risorse API dagli abusi impedendo ai client non autorizzati di accedere alle tue risorse di back-end. Funziona con i servizi Firebase, i servizi Google Cloud e le tue API per proteggere le tue risorse.
Con App Check, i dispositivi che eseguono la tua app utilizzeranno un provider di attestazione dell'app o del dispositivo che attesta uno o entrambi i seguenti elementi:
- Le richieste provengono dalla tua app autentica
- Le richieste provengono da un dispositivo autentico e non manomesso
Questa attestazione è allegata a ogni richiesta che la tua app effettua alle API specificate. Quando abiliti l'applicazione di App Check, le richieste dei client senza un'attestazione valida verranno rifiutate, così come qualsiasi richiesta originata da un'app o da una piattaforma che non hai autorizzato.
App Check dispone del supporto integrato per l'utilizzo dei seguenti servizi come provider di attestazione:
- DeviceCheck o App Attest su piattaforme Apple
- Riproduci Integrity o SafetyNet (obsoleto) su Android
- reCAPTCHA v3 o reCAPTCHA Enterprise nelle app web
Se questi non sono sufficienti per le tue esigenze, puoi anche implementare il tuo servizio che utilizza un provider di attestazione di terze parti o le tue tecniche di attestazione.
App Check attualmente funziona con i seguenti prodotti Firebase:
| Prodotti Firebase supportati |
|---|
| Database in tempo reale |
| CloudFirestore |
| Archiviazione cloud |
| Funzioni cloud (funzioni richiamabili) |
| Autenticazione (beta; richiede l'aggiornamento a Firebase Authentication with Identity Platform ) |
Puoi anche utilizzare App Check per proteggere le tue risorse di backend non Firebase.
Pronto per iniziare?
Come funziona?
Quando abiliti App Check per un servizio e includi l'SDK del client nella tua app, periodicamente si verifica quanto segue:
- La tua app interagisce con il provider di tua scelta per ottenere un'attestazione dell'autenticità dell'app o del dispositivo (o entrambi, a seconda del provider).
- L'attestato viene inviato al server App Check, che ne verifica la validità utilizzando i parametri registrati con l'app e restituisce all'app un token App Check con una data di scadenza. Questo token potrebbe conservare alcune informazioni sul materiale di attestazione che ha verificato.
- L'SDK del client App Check memorizza nella cache il token nella tua app, pronto per essere inviato insieme a tutte le richieste che la tua app effettua ai servizi protetti.
Un servizio protetto da App Check accetta solo richieste accompagnate da un token App Check valido e attuale.
Quanto è forte la sicurezza fornita da App Check?
App Check si affida alla forza dei suoi fornitori di attestazione per determinare l'autenticità dell'app o del dispositivo. Previene alcuni, ma non tutti, i vettori di abuso diretti verso i tuoi backend. L'utilizzo di App Check non garantisce l'eliminazione di tutti gli abusi, ma integrandoti con App Check, stai compiendo un passo importante verso la protezione dagli abusi per le tue risorse di back-end.
In che modo App Check è correlato all'autenticazione Firebase?
App Check e Firebase Authentication sono parti complementari della tua storia sulla sicurezza dell'app. Firebase Authentication fornisce l'autenticazione dell'utente, che protegge i tuoi utenti, mentre App Check fornisce l'attestazione dell'autenticità dell'app o del dispositivo, che protegge te, lo sviluppatore. App Check protegge l'accesso alle risorse Firebase e ai back-end personalizzati richiedendo che le chiamate API contengano un token Firebase App Check valido. Questi due concetti interagiscono per proteggere la tua app.
Quote e limiti
Il tuo utilizzo di App Check è soggetto alle quote e ai limiti dei fornitori di attestazione che utilizzi.
L'accesso a DeviceCheck e App Attest è soggetto a eventuali quote o limitazioni stabilite da Apple.
Play Integrity ha una quota giornaliera di 10.000 chiamate per il suo livello di utilizzo dell'API Standard. Per informazioni su come aumentare il livello di utilizzo, consulta la documentazione sull'integrità di Play .
SafetyNet ha una quota giornaliera di 10.000 chiamate. Per informazioni sulla richiesta di un aumento della quota, consulta la documentazione di SafetyNet .
reCAPTCHA v3 ha una quota mensile di 1 milione di chiamate, oltre a un limite di 1.000 QPS. Per informazioni sulla richiesta di un aumento della quota, consulta la documentazione reCAPTCHA .
reCAPTCHA Enterprise è gratuito per 1 milione di chiamate al mese e oltre. Consulta i prezzi di reCAPTCHA Enterprise .
Iniziare
Pronto per iniziare?
Piattaforme Apple
Attestato dell'app DeviceCheck
Androide
ragnatela
reCAPTCHA v3 reCAPTCHA Enterprise
Svolazzare
C++
Unità
Scopri come implementare un provider App Check personalizzato:
Scopri come utilizzare App Check per proteggere le tue risorse di backend non Firebase: