Firebase App Check
App Check trägt dazu bei, Ihre App-Back-Ends vor Missbrauch zu schützen, indem nicht autorisierte Clients den Zugriff auf Ihre Back-End-Ressourcen verhindert werden. Sie funktioniert sowohl mit Google-Diensten (einschließlich Firebase- und Google Cloud-Diensten) als auch mit Ihren eigenen Back-Ends, um Ihre Ressourcen zu schützen.
Bei App Check verwenden Geräte, auf denen Ihre App ausgeführt wird, einen App- oder Geräteattestierungsanbieter, der eine oder beide der folgenden Bestätigungen vornimmt:
- Anfragen stammen aus Ihrer authentischen App
- Anfragen stammen von einem authentischen, nicht manipulierten Gerät
Diese Attestierung wird an jede Anfrage angehängt, die Ihre App an die von Ihnen angegebenen APIs sendet. Wenn Sie die Erzwingung von App Check aktivieren, werden Anfragen von Clients ohne gültige Attestierung abgelehnt. Das gilt auch für Anfragen von Apps oder Plattformen, die Sie nicht autorisiert haben.
App Check unterstützt die folgenden Dienste als Attestierungsanbieter:
- DeviceCheck oder App Attest auf Apple-Plattformen
- Play Integrity auf Android-Geräten
- reCAPTCHA Enterprise in Web-Apps
Wenn diese nicht für Ihre Anforderungen ausreichen, können Sie auch Ihren eigenen Dienst implementieren, der entweder einen Attestierungsanbieter von Drittanbietern oder Ihre eigenen Attestierungsmethoden verwendet.
App Check funktioniert mit den folgenden Google-Diensten:
| Unterstützte Firebase- und Google Cloud-Dienste |
|---|
| Data Connect (Vorschau) |
| Vertex AI in Firebase |
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (aufrufbare Funktionen) |
| Authentication (Beta; erfordert ein Upgrade auf Firebase Authentication with Identity Platform) |
| Unterstützte Google Maps Platform-Dienste |
| Maps JavaScript API (Vorabversion) |
| Places API (New) (Vorabversion) |
| Andere unterstützte Google-Dienste |
| Google Identity für iOS |
Sie können App Check auch verwenden, um Ihre nicht von Google stammenden Backend-Ressourcen zu schützen.
Funktionsweise
Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einbinden, geschieht Folgendes regelmäßig:
- Ihre App interagiert mit dem Anbieter Ihrer Wahl, um eine Attestierung der Authentizität der App oder des Geräts (oder beides, je nach Anbieter) zu erhalten.
- Die Attestierung wird an den App Check-Server gesendet, der die Gültigkeit der Attestierung anhand der bei der App registrierten Parameter überprüft und Ihrer App ein App Check-Token mit einer Ablaufzeit zurücksendet. Dieses Token kann einige Informationen zum Attestierungsmaterial enthalten, das überprüft wurde.
- Das App Check-Client-SDK speichert das Token in Ihrer App und sendet es zusammen mit allen Anfragen Ihrer App an geschützte Dienste.
Ein von App Check geschützter Dienst akzeptiert nur Anfragen, die mit einem aktuellen, gültigen App Check-Token versehen sind.
Wie sicher ist App Check?
App Check setzt auf die Stärke seiner Attestierungsanbieter, um die Authentizität von Apps oder Geräten zu bestimmen. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Back-Ends gerichtet sind. Die Verwendung von App Check kann nicht garantieren, dass Missbrauch vollständig verhindert wird. Durch die Einbindung von App Check gehen Sie jedoch einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.
In welcher Beziehung steht App Check zu Firebase Authentication?
App Check und Firebase Authentication sind komplementäre Teile Ihrer App-Sicherheitsgeschichte. Firebase Authentication bietet die Nutzerauthentifizierung, die Ihre Nutzer schützt, während App Check die Authentifizierung der App- oder Geräteauthentizität bietet, was Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Google-Back-End-Ressourcen und benutzerdefinierten Back-Ends, indem API-Aufrufe ein gültiges App Check-Token enthalten müssen. Diese beiden Konzepte tragen zusammen zum Schutz Ihrer App bei.
Kontingente und Limits
Die Nutzung von App Check unterliegt den Kontingenten und Limits der von Ihnen verwendeten Attestierungsanbieter.
Der Zugriff auf DeviceCheck und App Attest unterliegt allen von Apple festgelegten Kontingenten oder Einschränkungen.
Für die Standard-API-Nutzungsstufe von Play Integrity gilt ein Tageskontingent von 10.000 Aufrufen. Informationen zum Erhöhen der Nutzungsstufe finden Sie in der Play Integrity-Dokumentation.
SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Informationen zum Anfordern einer Kontingenterhöhung finden Sie in der SafetyNet-Dokumentation.
reCAPTCHA Enterprise ist für 10.000 Bewertungen pro Monat kostenlos. Darüber hinaus fallen Kosten an. Weitere Informationen finden Sie unter Preise für reCAPTCHA.
Jetzt starten
Startbereit?
Apple-Plattformen
Android
Web
Flutter
C++
Einheit
Benutzerdefinierten App Check-Anbieter implementieren
App Check zum Schutz von Drittanbieter-Backend-Ressourcen verwenden
Wählen Sie Ihre Plattform aus: