Firebase App Check
App Check trägt dazu bei, Ihre App-Back-Ends vor Missbrauch zu schützen, indem nicht autorisierte Clients den Zugriff auf Ihre Back-End-Ressourcen verhindert werden. Sie funktioniert sowohl mit Google-Diensten (einschließlich Firebase- und Google Cloud-Diensten) als auch mit Ihren eigenen Back-Ends, um Ihre Ressourcen zu schützen.
Mit App Check wird auf Geräten, auf denen deine App ausgeführt wird, eine App oder ein Gerät verwendet Bescheinigungsanbieter, der mindestens eines der folgenden Kriterien erfüllt:
- Anfragen stammen von Ihrer authentischen App
- Anfragen stammen von einem authentischen, nicht manipulierten Gerät
Diese Attestierung wird jeder Anfrage Ihrer App an die von Ihnen angegebenen APIs angehängt. Wenn Sie die Erzwingung von App Check aktivieren, werden Anfragen von Clients ohne gültige Attestierung abgelehnt. Das gilt auch für Anfragen von Apps oder Plattformen, die Sie nicht autorisiert haben.
App Check unterstützt die folgenden Dienste als Attestierungsanbieter:
- Geräteprüfung oder App Attest auf Apple-Plattformen
- Play Integrity für Android
- reCAPTCHA Enterprise für Web-Apps.
Wenn diese nicht für Ihre Anforderungen ausreichen, können Sie auch Ihren eigenen Dienst implementieren, der entweder einen Attestierungsanbieter von Drittanbietern oder Ihre eigenen Attestierungsmethoden verwendet.
App Check funktioniert mit den folgenden Google-Diensten:
| Unterstützte Google-Dienste |
|---|
| Firebase Data Connect (Vorschau) |
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (aufrufbare Funktionen) |
| Authentication (Beta; erfordert ein Upgrade auf Firebase Authentication with Identity Platform) |
| Google Identity für iOS (Beta) |
| Vertex AI in Firebase (Vorschau) |
Sie können App Check auch verwenden, um Ihre nicht von Google stammenden Backend-Ressourcen zu schützen.
Funktionsweise
Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einbinden, geschieht Folgendes regelmäßig:
- Ihre App interagiert mit dem Anbieter Ihrer Wahl, um eine Attestierung der Authentizität der App oder des Geräts (oder beides, je nach Anbieter) zu erhalten.
- Die Attestierung wird an den App Check-Server gesendet, der die Gültigkeit der Attestierung anhand der bei der App registrierten Parameter überprüft und Ihrer App ein App Check-Token mit einer Ablaufzeit zurücksendet. Dieses Das Token enthält möglicherweise Informationen zum Attestierungsmaterial, das es enthält. bestätigt.
- Das App Check-Client-SDK speichert das Token in Ihrer App und kann es zusammen mit allen Anfragen Ihrer App an geschützte Dienste gesendet werden.
Ein von App Check geschützter Dienst akzeptiert nur Anfragen, die mit einem aktuellen, gültigen App Check-Token versehen sind.
Wie sicher ist App Check?
App Check setzt auf die Stärke seiner Attestierungsanbieter, um die Authentizität von Apps oder Geräten zu bestimmen. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Back-Ends gerichtet sind. Die Verwendung von App Check kann nicht garantieren, dass Missbrauch vollständig verhindert wird. Durch die Einbindung von App Check gehen Sie jedoch einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.
In welcher Beziehung steht App Check zu Firebase Authentication?
App Check und Firebase Authentication sind ergänzende Bestandteile deiner App-Sicherheit . Firebase Authentication bietet die Nutzerauthentifizierung, die Ihre Nutzer schützt, während App Check die Authentifizierung der App- oder Geräteauthentizität bietet, was Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Google-Back-End-Ressourcen und benutzerdefinierten Back-Ends, indem API-Aufrufe ein gültiges App Check-Token enthalten müssen. Diese beiden Konzepte tragen zusammen zum Schutz Ihrer App bei.
Kontingente und Limits
Die Nutzung von App Check unterliegt den Kontingenten und Limits der von Ihnen verwendeten Attestierungsanbieter.
Der Zugriff auf DeviceCheck und App Attest unterliegt allen festgelegten Kontingenten oder Beschränkungen von Apple.
Play Integrity hat für die Standard-API-Nutzung ein Tageskontingent von 10.000 Aufrufen Stufe. Informationen zum Erhöhen der Nutzungsstufe finden Sie in der Play Integrity-Dokumentation.
SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Informationen zum Anfordern eines Informationen zur Kontingenterhöhung finden Sie in der SafetyNet-Dokumentation.
reCAPTCHA Enterprise ist für 10.000 Bewertungen pro Monat kostenlos und bietet eine darüber hinaus die Kosten. Weitere Informationen finden Sie unter Preise für reCAPTCHA.
Jetzt starten
Startbereit?
Apple-Plattformen
Android
Web
Flutter
C++
Einheit
Benutzerdefinierten App Check-Anbieter implementieren
Hier erfahren Sie, wie Sie mit App Check Ihre Backend-Ressourcen schützen, die nicht von Google stammen
Plattform auswählen: