Firebase App Check
App Check vous aide à protéger les backends de votre application contre toute utilisation abusive en empêchant les clients non autorisés d'accéder à vos ressources backend. Il fonctionne à la fois avec les services Google (y compris Firebase et Google Cloud services) et vos propres backends personnalisés pour protéger vos ressources.
Avec App Check, les appareils exécutant votre application utilisent un fournisseur d'attestation d'application ou d'appareil qui atteste de l'un des éléments suivants, voire des deux :
- Les requêtes proviennent de votre application authentique.
- Les requêtes proviennent d'un appareil authentique qui n'a pas été altéré.
Cette attestation est associée à chaque requête que votre application envoie aux API que vous spécifiez. Lorsque vous activez l'application App Check, les requêtes des clients sans attestation valide sont refusées, tout comme les requêtes provenant d'une application ou d'une plate-forme que vous n'avez pas autorisée.
App Check est compatible avec les services suivants en tant que fournisseurs d'attestation :
- DeviceCheck ou App Attest sur les plates-formes Apple
- Play Integrity sur Android
- reCAPTCHA Enterprise sur les applications Web.
Si ces services ne répondent pas à vos besoins, vous pouvez également implémenter votre propre service qui utilise un fournisseur d'attestation tiers ou vos propres techniques d'attestation.
App Check fonctionne avec les services Google suivants :
| Services Firebase et Google Cloud compatibles |
|---|
| Firebase Authentication (bêta) |
| Firebase SQL Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (fonctions appelables uniquement) |
| Firebase AI Logic |
| Services Google Maps Platform compatibles |
| API Maps JavaScript (bêta) |
| API Places (nouvelle version) (bêta) |
| Autres services Google compatibles |
| Google Identity pour iOS |
Vous pouvez également utiliser App Check pour protéger vos ressources backend personnalisées non Google, comme votre propre backend auto-hébergé.
Fonctionnement
Lorsque vous activez App Check pour un service et incluez le SDK client dans votre application, les événements suivants se produisent régulièrement :
- Votre application interagit avec le fournisseur de votre choix pour obtenir une attestation de l'authenticité de l'application ou de l'appareil (ou des deux, selon le fournisseur).
- L'attestation est envoyée au App Check serveur, qui vérifie la validité de l'attestation à l'aide des paramètres enregistrés auprès de l'application, puis renvoie à votre application un App Check jeton avec une date d'expiration. Ce jeton peut conserver certaines informations sur le matériel d'attestation qu'il a validé.
- Le SDK client App Check met en cache le jeton dans votre application, prêt à être envoyé avec toutes les requêtes que votre application envoie aux services protégés.
Un service protégé par App Check n'accepte que les requêtes accompagnées d'un jeton App Check valide et actuel.
Quel est le niveau de sécurité fourni par App Check ?
App Check s'appuie sur la fiabilité de ses fournisseurs d'attestation pour déterminer l'authenticité de l'application ou de l'appareil. Il empêche certains vecteurs d'utilisation abusive, mais pas tous, qui sont dirigés vers vos backends. L'utilisation de App Check ne garantit pas l'élimination de toutes les utilisations abusives, mais en l'intégrant à App Check, vous faites un pas important vers la protection contre les utilisations abusives de vos ressources backend.
Quel est le lien entre App Check et Firebase Authentication ?
App Check et Firebase Authentication sont des éléments complémentaires de la sécurité de votre application Firebase Authentication fournit l'authentification des utilisateurs, qui protège vos utilisateurs, tandis que App Check fournit l'attestation de l'authenticité de l'application ou de l'appareil, ce qui vous protège, vous, le développeur. App Check protège l'accès à vos ressources backend Google et à vos backends personnalisés en exigeant que les appels d'API contiennent un jeton App Check valide. Ces deux concepts fonctionnent ensemble pour sécuriser votre application.
Quotas et limites
Votre utilisation de App Check est soumise aux quotas et limites des fournisseurs d'attestation que vous utilisez.
L'accès à DeviceCheck et à App Attest est soumis aux quotas ou limites définis par Apple.
Play Integrity dispose d'un quota quotidien de 10 000 appels pour son niveau d'utilisation de l'API Standard. Pour savoir comment augmenter votre niveau d'utilisation, consultez la documentation Play Integrity.
reCAPTCHA Enterprise est sans frais pour 10 000 évaluations par mois, puis payant. Consultez la tarification de reCAPTCHA.
En outre, le service App Check est soumis à des quotas sur le volume de requêtes qu'il gère à partir d'un seul projet. Toutefois, ces quotas ne sont généralement pas épuisés lors d'une utilisation normale. Si vous prévoyez que votre volume de trafic dépasse ces quotas, contactez l'assistance Firebase pour demander une augmentation.
Commencer
Prêt à vous lancer ?
Plates-formes Apple
Android
Web
Flutter
Unity
C++
Découvrez comment implémenter un fournisseur App Check personnalisé
Découvrez comment utiliser App Check pour protéger vos ressources backend personnalisées
Sélectionnez votre plate-forme :
iOS+ Android Web Flutter Unity C++