Firebase-App-Check

App Check arbeitet mit anderen Firebase-Diensten zusammen, um Ihre Back-End-Ressourcen vor Missbrauch wie Abrechnungsbetrug oder Phishing zu schützen. Mit App Check verwenden Geräte, auf denen Ihre App ausgeführt wird, einen App- oder Geräteattestierungsanbieter, der eine oder beide der folgenden Aussagen bestätigt:

  • Anfragen stammen von Ihrer authentischen App
  • Anfragen stammen von einem authentischen, nicht manipulierten Gerät

Diese Bescheinigung wird an jede Anfrage angehängt, die Ihre App an Ihre Firebase-Back-End-Ressourcen stellt.

App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Attestierungsanbieter:

Sollten diese für Ihre Bedürfnisse nicht ausreichen, können Sie auch einen eigenen Dienst implementieren, der entweder einen Drittanbieter für Attestierung oder eigene Attestierungstechniken verwendet.

App Check funktioniert derzeit mit den folgenden Firebase-Produkten:

  • Echtzeit-Datenbank
  • Cloud-Speicher
  • Cloud Functions (aufrufbare Funktionen)

Erste Schritte mit DeviceCheck auf iOS mit App Attest auf iOS Erste Schritte

Beginnen Sie mit Android

Erste Schritte mit Web-Apps

Sie können App Check auch verwenden, um Ihre Nicht-Firebase-Backend-Ressourcen zu schützen:

iOS Android Web

Wie funktioniert es?

Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einschließen, geschieht regelmäßig Folgendes:

  1. Ihre App interagiert mit dem Anbieter Ihrer Wahl, um eine Bestätigung der Authentizität der App oder des Geräts (oder beidem, je nach Anbieter) zu erhalten.
  2. Die Attestierung wird an den App Check-Server gesendet, der die Gültigkeit der Attestierung anhand der bei der App registrierten Parameter überprüft und ein App Check-Token mit einer Ablaufzeit an Ihre App zurückgibt. Dieses Token enthält möglicherweise einige Informationen über das überprüfte Attestierungsmaterial.
  3. Das App Check-Client-SDK speichert das Token in Ihrer App, sodass es zusammen mit allen Anfragen Ihrer App an geschützte Dienste gesendet werden kann.

Ein durch App Check geschützter Dienst akzeptiert nur Anfragen mit einem aktuellen, gültigen App Check-Token.

Wie stark ist die Sicherheit von App Check?

App Check verlässt sich auf die Stärke seiner Attestierungsanbieter, um die Authentizität von Apps oder Geräten zu bestimmen. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Backends gerichtet sind. Die Verwendung von App Check garantiert nicht die Beseitigung jeglichen Missbrauchs, aber durch die Integration mit App Check machen Sie einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.

App Check und Firebase Authentication sind komplementäre Bestandteile Ihrer App-Sicherheitsgeschichte. Firebase Authentication bietet eine Benutzerauthentifizierung, die Ihre Benutzer schützt, während App Check die Bestätigung der App- oder Geräteauthentizität bietet, die Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Firebase-Ressourcen, indem API-Aufrufe ein gültiges Firebase App Check-Token enthalten müssen. Diese beiden Konzepte wirken zusammen, um Ihre App zu schützen.

Kontingente & Limits

Ihre Nutzung von App Check unterliegt den Kontingenten und Limits der von Ihnen verwendeten Attestierungsanbieter.

  • Der Zugriff auf DeviceCheck unterliegt allen von Apple festgelegten Kontingenten oder Beschränkungen.

  • SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Weitere Informationen über eine Quotenerhöhung anfordert, finden Sie in der SafetyNet Dokumentation .

  • reCAPTCHA v3 hat ein monatliches Kontingent von 1 Million Anrufen sowie ein Limit von 1.000 QPS. Weitere Informationen über eine Quotenerhöhung anfordert, finden Sie in der reCAPTCHA Dokumentation .

Loslegen

Bereit anzufangen?

Erste Schritte mit DeviceCheck auf iOS mit App Attest auf iOS Erste Schritte

Erste Schritte auf Android

Erste Schritte mit Web-Apps

Erste Schritte mit benutzerdefinierten Anbietern