Firebase Uygulama Kontrolü
Uygulama Kontrolü, yetkisiz istemcilerin arka uç kaynaklarınıza erişmesini önleyerek API kaynaklarınızı kötüye kullanıma karşı korumaya yardımcı olur. Kaynaklarınızı güvende tutmak için hem Google hizmetleriyle (Firebase ve Google Cloud hizmetleri dahil) hem de kendi API'lerinizle birlikte çalışır.
Uygulama Kontrolü ile, uygulamanızı çalıştıran cihazlar aşağıdakilerden birini veya her ikisini de onaylayan bir uygulama veya cihaz onay sağlayıcısı kullanır:
- İstekler gerçek uygulamanızdan gelir
- İstekler gerçek, kurcalanmamış bir cihazdan gelir
Bu onay, uygulamanızın belirttiğiniz API'lere yaptığı her isteğe eklenir. Uygulama Kontrolü'nün zorunlu kılınmasını etkinleştirdiğinizde geçerli bir onaya sahip olmayan müşterilerden gelen istekler ve yetki vermediğiniz bir uygulama veya platformdan gelen tüm istekler reddedilir.
Uygulama Kontrolü, aşağıdaki hizmetlerin onay sağlayıcısı olarak kullanılması için yerleşik desteğe sahiptir:
- Apple platformlarında DeviceCheck veya App Attest
- Android'de Play Integrity veya SafetyNet (desteği sonlandırılmış)
- Web uygulamalarında reCAPTCHA Enterprise.
Bunlar ihtiyaçlarınız için yeterli değilse üçüncü taraf onay sağlayıcısı veya kendi onay tekniklerinizi kullanan kendi hizmetinizi de uygulayabilirsiniz.
Uygulama Kontrolü aşağıdaki Google hizmetleriyle çalışır:
| Desteklenen Google hizmetleri |
|---|
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (çağrılanabilir işlevler) |
| Kimlik doğrulama (beta; Kimlik Platformu ile Firebase Authentication'a geçmeyi gerektirir) |
| iOS için Google Kimliği (beta) |
| Firebase için Vertex AI (Önizleme) |
Uygulama Kontrolü'nü Google dışı arka uç kaynaklarınızı korumak için de kullanabilirsiniz.
Başlamaya hazır mısınız?
Nasıl çalışır?
Bir hizmet için Uygulama Kontrolü'nü etkinleştirdiğinizde ve istemci SDK'sını uygulamanıza eklediğinizde aşağıdakiler düzenli olarak gerçekleşir:
- Uygulamanız, uygulamanın veya cihazın özgünlüğüne (ya da sağlayıcıya bağlı olarak her ikisine de) dair onay almak için seçtiğiniz sağlayıcıyla etkileşime girer.
- Onay, Uygulama Kontrolü sunucusuna gönderilir. Bu sunucu, uygulamaya kayıtlı parametreleri kullanarak onayın geçerliliğini doğrular ve uygulamanıza son kullanma tarihi olan bir Uygulama Kontrolü jetonu döndürür. Bu jeton, doğruladığı onay materyaliyle ilgili bazı bilgileri saklayabilir.
- Uygulama Kontrolü istemci SDK'sı, uygulamanızın korunan hizmetlere yaptığı tüm isteklerle birlikte gönderilmeye hazır bir şekilde uygulamanızdaki jetonu önbelleğe alır.
Uygulama Kontrolü ile korunan bir hizmet yalnızca mevcut ve geçerli bir Uygulama Kontrolü jetonu bulunan istekleri kabul eder.
Uygulama Kontrolü'nün sağladığı güvenlik ne kadar güçlü?
Uygulama Kontrolü, uygulamanın veya cihazın özgünlüğünü belirlemek için onay sağlayıcılarının gücüne dayanır. Arka uçlarınıza yönelik kötüye kullanım vektörlerinin tümünü olmasa da bazılarını önler. Uygulama Kontrolü'nü kullanmak tüm kötüye kullanımların ortadan kaldırılacağını garanti etmez. Ancak Uygulama Kontrolü'nü entegre ederek arka uç kaynaklarınız için kötüye kullanıma karşı koruma sağlama yolunda önemli bir adım atmış olursunuz.
Uygulama Kontrolü'nün Firebase Authentication ile ilişkisi nedir?
Uygulama Kontrolü ve Firebase Authentication, uygulama güvenliği hikayenizin tamamlayıcı parçalarıdır. Firebase Authentication, kullanıcılarınızı koruyan kullanıcı kimlik doğrulaması sağlar, Uygulama Kontrolü ise uygulamanın veya cihazın orijinalliğinin onayını vererek sizi, yani geliştiriciyi korur. Uygulama Kontrolü, API çağrılarının geçerli bir Uygulama Kontrolü jetonu içermesini zorunlu kılarak Google arka uç kaynaklarınıza ve özel arka uçlarınıza erişimi korur. Bu iki kavram, birlikte çalışarak uygulamanızın güvenliğini sağlamaya yardımcı olur.
Kotalar ve sınırlar
Uygulama Kontrolü'nü kullanımınız, kullandığınız onay sağlayıcıların kotalarına ve sınırlarına tabidir.
DeviceCheck ve App Attest erişimi, Apple tarafından belirlenen tüm kotalara veya sınırlamalara tabidir.
Play Integrity,Standard API kullanım katmanı için günlük 10.000 çağrıya sahiptir. Kullanım katmanınızı yükseltme hakkında bilgi edinmek için Play Integrity belgelerine göz atın.
SafetyNet'in günlük 10.000 çağrı kotası vardır. Kota artışı isteğinde bulunma hakkında bilgi edinmek için SafetyNet belgelerine bakın.
reCAPTCHA Enterprise ayda 1 milyon çağrı için ücretsizdir ve bunun ötesinde bir maliyete sahiptir. reCAPTCHA Enterprise fiyatlandırmasına bakın.
Başlayın
Başlamaya hazır mısınız?
Apple platformları
Android
Web
Flutter
C++
Unity
Özel bir Uygulama Kontrolü sağlayıcısını nasıl uygulayacağınızı öğrenin:
Google dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü nasıl kullanacağınızı öğrenin: