Kiểm tra ứng dụng Firebase

Kiểm tra ứng dụng giúp bảo vệ tài nguyên API của bạn khỏi bị lạm dụng bằng cách ngăn chặn các ứng dụng khách trái phép truy cập vào tài nguyên phụ trợ của bạn. Nó hoạt động với cả dịch vụ Firebase, dịch vụ Google Cloud và API của riêng bạn để giữ an toàn cho tài nguyên của bạn.

Với Kiểm tra ứng dụng, các thiết bị chạy ứng dụng của bạn sẽ sử dụng ứng dụng hoặc nhà cung cấp chứng thực thiết bị chứng thực một hoặc cả hai điều sau:

  • Yêu cầu bắt nguồn từ ứng dụng xác thực của bạn
  • Yêu cầu bắt nguồn từ một thiết bị xác thực, không bị giả mạo

Chứng thực này được đính kèm với mọi yêu cầu mà ứng dụng của bạn đưa ra đối với các API mà bạn chỉ định. Khi bạn bật thực thi Kiểm tra ứng dụng, các yêu cầu từ khách hàng không có chứng thực hợp lệ sẽ bị từ chối, cũng như mọi yêu cầu bắt nguồn từ ứng dụng hoặc nền tảng mà bạn chưa ủy quyền.

Kiểm tra ứng dụng có hỗ trợ tích hợp để sử dụng các dịch vụ sau với tư cách là nhà cung cấp chứng thực:

Nếu những điều này không đủ cho nhu cầu của bạn, bạn cũng có thể triển khai dịch vụ của riêng mình bằng cách sử dụng nhà cung cấp chứng thực bên thứ ba hoặc kỹ thuật chứng thực của riêng bạn.

Kiểm tra ứng dụng hiện hoạt động với các sản phẩm Firebase sau:

Các sản phẩm Firebase được hỗ trợ
Cơ sở dữ liệu thời gian thực
Cửa hàng đám mây
Lưu trữ đám mây
Chức năng đám mây (chức năng có thể gọi được)
Xác thực (beta; yêu cầu nâng cấp lên Xác thực Firebase với Nền tảng nhận dạng )

Bạn cũng có thể sử dụng Kiểm tra ứng dụng để bảo vệ tài nguyên phụ trợ không phải của Firebase.

Sẵn sàng để bắt đầu?

Bắt đầu

Làm thế nào nó hoạt động?

Khi bạn bật Kiểm tra ứng dụng cho một dịch vụ và đưa SDK khách vào ứng dụng của mình, điều sau đây sẽ xảy ra định kỳ:

  1. Ứng dụng của bạn tương tác với nhà cung cấp mà bạn chọn để có được chứng thực về tính xác thực của ứng dụng hoặc thiết bị (hoặc cả hai, tùy thuộc vào nhà cung cấp).
  2. Chứng thực được gửi đến máy chủ Kiểm tra ứng dụng, xác minh tính hợp lệ của chứng thực bằng cách sử dụng các tham số đã đăng ký với ứng dụng và trả về ứng dụng của bạn một mã thông báo Kiểm tra ứng dụng có thời gian hết hạn. Mã thông báo này có thể giữ lại một số thông tin về tài liệu chứng thực mà nó đã xác minh.
  3. SDK khách Kiểm tra ứng dụng lưu trữ mã thông báo trong ứng dụng của bạn, sẵn sàng được gửi cùng với mọi yêu cầu mà ứng dụng của bạn đưa ra đối với các dịch vụ được bảo vệ.

Dịch vụ được bảo vệ bởi Kiểm tra ứng dụng chỉ chấp nhận các yêu cầu kèm theo mã thông báo Kiểm tra ứng dụng hiện tại, hợp lệ.

Mức độ bảo mật do Kiểm tra ứng dụng cung cấp mạnh đến mức nào?

Kiểm tra ứng dụng dựa vào sức mạnh của các nhà cung cấp chứng thực để xác định tính xác thực của ứng dụng hoặc thiết bị. Nó ngăn chặn một số, nhưng không phải tất cả, các vectơ lạm dụng hướng tới phần phụ trợ của bạn. Việc sử dụng Kiểm tra ứng dụng không đảm bảo loại bỏ mọi hành vi lạm dụng nhưng bằng cách tích hợp với Kiểm tra ứng dụng, bạn đang thực hiện một bước quan trọng hướng tới việc bảo vệ chống lạm dụng cho các tài nguyên phụ trợ của mình.

Kiểm tra ứng dụng và Xác thực Firebase là những phần bổ sung trong câu chuyện bảo mật ứng dụng của bạn. Xác thực Firebase cung cấp xác thực người dùng để bảo vệ người dùng của bạn, trong khi Kiểm tra ứng dụng cung cấp chứng thực về tính xác thực của ứng dụng hoặc thiết bị để bảo vệ bạn, nhà phát triển. Kiểm tra ứng dụng bảo vệ quyền truy cập vào tài nguyên Firebase và chương trình phụ trợ tùy chỉnh của bạn bằng cách yêu cầu lệnh gọi API chứa mã thông báo Kiểm tra ứng dụng Firebase hợp lệ. Hai khái niệm này phối hợp với nhau để giúp bảo mật ứng dụng của bạn.

Hạn ngạch & giới hạn

Việc bạn sử dụng Kiểm tra ứng dụng phải tuân theo hạn ngạch và giới hạn của nhà cung cấp chứng thực mà bạn sử dụng.

  • Quyền truy cập DeviceCheck và App Attest phải tuân theo mọi hạn ngạch hoặc giới hạn do Apple đặt ra.

  • Tính toàn vẹn của Play có hạn mức 10.000 lệnh gọi hàng ngày cho cấp sử dụng API tiêu chuẩn. Để biết thông tin về cách nâng cấp mức sử dụng của bạn, hãy xem tài liệu về Tính toàn vẹn của Play .

  • SafetyNet có hạn mức 10.000 cuộc gọi hàng ngày. Để biết thông tin về yêu cầu tăng hạn ngạch, hãy xem tài liệu SafetyNet .

  • reCAPTCHA Enterprise miễn phí cho 1 triệu cuộc gọi mỗi tháng và có mức phí cao hơn thế. Xem giá reCAPTCHA Enterprise .

Bắt đầu

Sẵn sàng để bắt đầu?

Nền tảng của Apple

Chứng thực ứng dụng DeviceCheck

Android

Chơi toàn vẹn

Web

reCAPTCHA doanh nghiệp

Chớp cánh

Nhà cung cấp mặc định

C++

Nhà cung cấp mặc định

Đoàn kết

Nhà cung cấp mặc định

Tìm hiểu cách triển khai nhà cung cấp Kiểm tra ứng dụng tùy chỉnh:

Nhà cung cấp tùy chỉnh

Tìm hiểu cách sử dụng Kiểm tra ứng dụng để bảo vệ tài nguyên phụ trợ không phải Firebase của bạn:

Flutter web iOS+ Android