Catch up on everthing we announced at this year's Firebase Summit. Learn more

Firebase-App-Check

App Check hilft, Ihre Back-End-Ressourcen vor Missbrauch zu schützen, wie z. B. Abrechnungsbetrug und Phishing. Es funktioniert sowohl mit Firebase-Diensten als auch mit Ihren eigenen Back-Ends, um Ihre Ressourcen zu schützen.

Mit App Check verwenden Geräte, auf denen Ihre App ausgeführt wird, einen App- oder Geräteattestierungsanbieter, der eine oder beide der folgenden Aussagen bestätigt:

  • Anfragen stammen von Ihrer authentischen App
  • Anfragen stammen von einem authentischen, nicht manipulierten Gerät

Diese Bescheinigung wird an jede Anfrage angehängt, die Ihre App an Ihre Firebase-Back-End-Ressourcen stellt.

App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Attestierungsanbieter:

Sollten diese für Ihre Anforderungen nicht ausreichen, können Sie auch einen eigenen Dienst implementieren, der entweder einen Drittanbieter von Attestierungen oder eigene Attestierungstechniken verwendet.

App Check funktioniert derzeit mit den folgenden Firebase-Produkten:

Unterstützte Firebase-Produkte
Echtzeit-Datenbank
Cloud Firestore (nur iOS und Android; Websupport in Kürze)
Cloud-Speicher
Cloud Functions (aufrufbare Funktionen)

Sie können App Check auch verwenden, um Ihre Nicht-Firebase-Backend-Ressourcen zu schützen.

Bereit anzufangen?

Loslegen

Wie funktioniert es?

Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einschließen, geschieht regelmäßig Folgendes:

  1. Ihre App interagiert mit dem Anbieter Ihrer Wahl, um eine Bestätigung der Authentizität der App oder des Geräts (oder beidem, je nach Anbieter) zu erhalten.
  2. Die Attestierung wird an den App Check-Server gesendet, der die Gültigkeit der Attestierung anhand der bei der App registrierten Parameter überprüft und ein App Check-Token mit einer Ablaufzeit an Ihre App zurückgibt. Dieses Token enthält möglicherweise einige Informationen über das überprüfte Attestierungsmaterial.
  3. Das App Check-Client-SDK speichert das Token in Ihrer App zwischen und kann zusammen mit allen Anfragen Ihrer App an geschützte Dienste gesendet werden.

Ein durch App Check geschützter Dienst akzeptiert nur Anfragen mit einem aktuellen, gültigen App Check-Token.

Wie stark ist die Sicherheit von App Check?

App Check verlässt sich auf die Stärke seiner Attestierungsanbieter, um die Authentizität von Apps oder Geräten zu bestimmen. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Backends gerichtet sind. Die Verwendung von App Check garantiert nicht die Beseitigung jeglichen Missbrauchs, aber durch die Integration mit App Check machen Sie einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.

App Check und Firebase Authentication sind komplementäre Bestandteile Ihrer App-Sicherheitsgeschichte. Firebase Authentication bietet eine Benutzerauthentifizierung, die Ihre Benutzer schützt, während App Check eine Bestätigung der App- oder Geräteauthentizität bietet, die Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Firebase-Ressourcen und benutzerdefinierten Back-Ends, indem API-Aufrufe ein gültiges Firebase App Check-Token enthalten müssen. Diese beiden Konzepte wirken zusammen, um Ihre App zu schützen.

Kontingente & Limits

Ihre Nutzung von App Check unterliegt den Kontingenten und Limits der von Ihnen verwendeten Attestierungsanbieter.

  • Der Zugriff auf DeviceCheck und App Attest unterliegt den von Apple festgelegten Kontingenten oder Beschränkungen.

  • SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Weitere Informationen über eine Quotenerhöhung anfordert, finden Sie in der SafetyNet Dokumentation .

  • reCAPTCHA v3 hat ein monatliches Kontingent von 1 Million Anrufen sowie ein Limit von 1.000 QPS. Weitere Informationen über eine Quotenerhöhung anfordert, finden Sie in der reCAPTCHA Dokumentation .

  • reCAPTCHA Enterprise ist für 1 Million Anrufe pro Monat kostenlos und darüber hinaus kostenpflichtig. Siehe reCAPTCHA Enterprise - Preise .

Loslegen

Bereit anzufangen?

Apple-Plattformen

DeviceCheck App Attest

Android

Sicherheitsnetz

Netz

reCAPTCHA v3 reCAPTCHA Unternehmen

Erfahren Sie, wie Sie einen benutzerdefinierten App-Check-Anbieter implementieren:

Benutzerdefinierte Anbieter

Erfahren Sie, wie Sie App Check verwenden, um Ihre Nicht-Firebase-Backend-Ressourcen zu schützen:

iOS + Android Web