Firebase App Check

App Check contribuisce a proteggere i backend delle tue app da comportamenti illeciti impedendo ad accedere alle tue risorse di backend da parte di client non autorizzati. Funziona con sia dai servizi Google (inclusi i servizi Firebase e Google Cloud) sia e i tuoi backend per proteggere le tue risorse.

Con App Check, i dispositivi che eseguono la tua app utilizzeranno un'app o un dispositivo di attestazione che attesta uno o entrambi i seguenti elementi:

  • Le richieste provengono dalla tua app autentica
  • Le richieste provengono da un dispositivo autentico e non manomesso

Questa attestazione è allegata a ogni richiesta effettuata dall'app alle API che specificare. Quando attivi l'applicazione forzata di App Check, le richieste di i client senza un'attestazione valida verranno rifiutati, così come qualsiasi richiesta provenienti da un'app o una piattaforma che non hai autorizzato.

App Check dispone di supporto integrato per l'utilizzo dei seguenti servizi come provider di attestazioni:

Se questi non sono sufficienti per le tue esigenze, puoi anche implementare il tuo servizio che utilizza un fornitore di attestazioni di terze parti o le tue tecniche di attestazione.

App Check funziona con i seguenti servizi Google:

Servizi Google supportati
Realtime Database
Cloud Firestore
Cloud Storage
Cloud Functions (funzioni richiamabili)
Authentication (beta; è necessario eseguire l'upgrade a Firebase Authentication with Identity Platform)
Google Identity per iOS (beta)
Vertex AI in Firebase (anteprima)

Puoi anche utilizzare App Check per proteggere le tue risorse di backend non Google.

Scopri come iniziare

Come funziona?

Quando attivi App Check per un servizio e includi l'SDK client nella tua app, periodicamente si verifica quanto segue:

  1. La tua app interagisce con il fornitore che preferisci per ottenere un'attestazione sull'autenticità dell'app o del dispositivo (o entrambi, a seconda del fornitore).
  2. L'attestazione viene inviata al server App Check, che verifica la sua validità utilizzando i parametri registrati con l'app e restituisce alla tua app un token App Check con una data di scadenza. Questo token potrebbe conservare alcune informazioni sul materiale di attestazione che ha verificato.
  3. L'SDK client App Check memorizza nella cache il token nella tua app, pronto per essere inviato insieme alle richieste inviate dalla tua app ai servizi protetti.

Un servizio protetto da App Check accetta solo richieste accompagnate da da un token App Check corrente e valido.

Quanto è efficace la sicurezza offerta da App Check?

App Check si basa sulla forza dei propri provider di attestazioni per determinare l'autenticità dell'app o del dispositivo. Previene alcuni, ma non tutti, i vettori di abuso diretto ai tuoi backend. L'utilizzo di App Check non garantisce l'eliminazione di tutti gli abusi, ma l'integrazione con App Check rappresenta un passo importante verso la protezione dagli abusi per le risorse di backend.

App Check e Firebase Authentication sono componenti complementari della sicurezza della tua app storia. Firebase Authentication fornisce l'autenticazione utente, che protegge il tuo gli utenti, mentre App Check fornisce l'attestazione dell'autenticità dell'app o del dispositivo, che protegge lo sviluppatore. App Check protegge l'accesso al tuo account Google e backend personalizzati richiedendo che le chiamate API contengano un numero App Check token. Questi due concetti operano in sinergia per aiutarti a proteggere la tua app.

Quote e limiti

L'utilizzo di App Check è soggetto alle quote e ai limiti dei fornitori di attestazioni che utilizzi.

  • L'accesso a DeviceCheck e App Attest è soggetto a eventuali quote o limitazioni impostate da Apple.

  • Play Integrity ha una quota giornaliera di 10.000 chiamate per l'utilizzo dell'API Standard livello. Per informazioni su come aumentare il livello di utilizzo, consulta Documentazione di Play Integrity.

  • SafetyNet ha una quota giornaliera di 10.000 chiamate. Per informazioni su come richiedere un di quota, consulta la documentazione di SafetyNet.

  • reCAPTCHA Enterprise è senza costi per 10.000 valutazioni al mese e offre oltre questo costo. Consulta i prezzi di reCAPTCHA.

Inizia

Iniziamo?

Piattaforme Apple

Controllo dispositivo Attest dell'app

Android

Play Integrity

Web

reCAPTCHA Enterprise

Flutter

Fornitori predefiniti

C++

Fornitori predefiniti

Unity

Fornitori predefiniti

Scopri come implementare un provider App Check personalizzato

Fornitori personalizzati

Scopri come utilizzare App Check per proteggere le tue risorse di backend non Google

Seleziona la tua piattaforma:

iOS e versioni successive Android Web Flutter