Firebase-App-Check

App Check schützt Ihre Back-End-Ressourcen vor Missbrauch wie Abrechnungsbetrug und Phishing. Es funktioniert sowohl mit Firebase-Diensten als auch mit Ihren eigenen Back-Ends, um Ihre Ressourcen zu schützen.

Mit App Check verwenden Geräte, auf denen Ihre App ausgeführt wird, einen App- oder Gerätenachweisanbieter, der eines oder beide der folgenden Elemente bestätigt:

  • Anfragen stammen von Ihrer authentischen App
  • Anfragen stammen von einem authentischen, nicht manipulierten Gerät

Diese Bescheinigung wird jeder Anfrage angehängt, die Ihre App an Ihre Firebase-Back-End-Ressourcen sendet.

App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Beglaubigungsanbieter:

Wenn diese für Ihre Anforderungen nicht ausreichen, können Sie auch Ihren eigenen Dienst implementieren, der entweder einen Bestätigungsanbieter eines Drittanbieters oder Ihre eigenen Bestätigungstechniken verwendet.

App Check funktioniert derzeit mit den folgenden Firebase-Produkten:

Unterstützte Firebase-Produkte
Echtzeit-Datenbank
Cloud-Firestore
Cloud-Speicher
Cloud-Funktionen (aufrufbare Funktionen)

Sie können App Check auch verwenden, um Ihre Nicht-Firebase-Back-End-Ressourcen zu schützen.

Bereit anzufangen?

Loslegen

Wie funktioniert es?

Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einschließen, geschieht regelmäßig Folgendes:

  1. Ihre App interagiert mit dem Anbieter Ihrer Wahl, um eine Bestätigung der Authentizität der App oder des Geräts (oder beider, je nach Anbieter) zu erhalten.
  2. Die Beglaubigung wird an den App Check-Server gesendet, der die Gültigkeit der Beglaubigung anhand von bei der App registrierten Parametern überprüft und ein App Check-Token mit einer Ablaufzeit an Ihre App zurücksendet. Dieses Token enthält möglicherweise einige Informationen über das Beglaubigungsmaterial, das es verifiziert hat.
  3. Das App Check-Client-SDK speichert das Token in Ihrer App, sodass es zusammen mit allen Anfragen Ihrer App an geschützte Dienste gesendet werden kann.

Ein durch App Check geschützter Dienst akzeptiert nur Anfragen, die von einem aktuellen, gültigen App Check-Token begleitet werden.

Wie stark ist die Sicherheit von App Check?

App Check verlässt sich auf die Stärke seiner Beglaubigungsanbieter, um die App- oder Geräteauthentizität zu bestimmen. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Backends gerichtet sind. Die Verwendung von App Check garantiert nicht die Beseitigung jeglichen Missbrauchs, aber durch die Integration mit App Check machen Sie einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.

App Check und Firebase Authentication sind komplementäre Teile Ihrer App-Sicherheitsgeschichte. Die Firebase-Authentifizierung bietet eine Benutzerauthentifizierung, die Ihre Benutzer schützt, während App Check eine Bestätigung der App- oder Geräteauthentizität bietet, die Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Firebase-Ressourcen und benutzerdefinierten Back-Ends, indem API-Aufrufe ein gültiges Firebase App Check-Token enthalten müssen. Diese beiden Konzepte arbeiten zusammen, um Ihre App zu sichern.

Quoten & Limits

Ihre Nutzung von App Check unterliegt den Kontingenten und Beschränkungen der von Ihnen verwendeten Beglaubigungsanbieter.

  • Der Zugriff auf DeviceCheck und App Attest unterliegt allen von Apple festgelegten Kontingenten oder Einschränkungen.

  • SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Weitere Informationen über eine Quotenerhöhung anfordert, finden Sie in der SafetyNet Dokumentation .

  • reCAPTCHA v3 hat ein monatliches Kontingent von 1 Million Aufrufen sowie ein Limit von 1.000 QPS. Weitere Informationen über eine Quotenerhöhung anfordert, finden Sie in der reCAPTCHA Dokumentation .

  • reCAPTCHA Enterprise ist für 1 Million Aufrufe pro Monat kostenlos und darüber hinaus kostenpflichtig. Siehe reCAPTCHA Enterprise - Preise .

Loslegen

Bereit anzufangen?

Apple-Plattformen

DeviceCheck App Attest

Android

Sicherheitsnetz

Netz

reCAPTCHA v3 reCAPTCHA Unternehmen

Erfahren Sie, wie Sie einen benutzerdefinierten App Check-Anbieter implementieren:

Benutzerdefinierte Anbieter

Erfahren Sie, wie Sie mit App Check Ihre Nicht-Firebase-Back-End-Ressourcen schützen:

iOS + Android Web