Vérification de l'application Firebase

App Check fonctionne avec d'autres services Firebase pour aider à protéger vos ressources backend contre les abus, tels que la fraude à la facturation ou le phishing. Avec App Check, les appareils exécutant votre application utiliseront un fournisseur d'attestation d'application ou d'appareil qui atteste l'un ou les deux des éléments suivants :

  • Les demandes proviennent de votre application authentique
  • Les demandes proviennent d'un appareil authentique et non falsifié

Cette attestation est jointe à chaque demande que votre application fait à vos ressources backend Firebase.

App Check prend en charge l'utilisation des services suivants en tant que fournisseurs d'attestation :

Si ceux-ci sont insuffisants pour vos besoins, vous pouvez également implémenter votre propre service qui utilise soit un fournisseur d'attestation tiers, soit vos propres techniques d'attestation.

App Check fonctionne actuellement avec les produits Firebase suivants :

  • Base de données en temps réel
  • Stockage en ligne
  • Cloud Functions (fonctions appelables)

Commencez avec DeviceCheck sur iOS commencer à utiliser sur iOS App Certifier

Commencez sur Android

Lancez-vous sur les applications Web

Vous pouvez également utiliser App Check pour protéger vos ressources backend autres que Firebase :

iOS Android Web

Comment ça marche?

Lorsque vous activez App Check pour un service et incluez le SDK client dans votre application, les événements suivants se produisent périodiquement :

  1. Votre application interagit avec le fournisseur de votre choix pour obtenir une attestation de l'authenticité de l'application ou de l'appareil (ou les deux, selon le fournisseur).
  2. L'attestation est envoyée au serveur App Check, qui vérifie la validité de l'attestation à l'aide des paramètres enregistrés avec l'application, et renvoie à votre application un jeton App Check avec un délai d'expiration. Ce jeton peut conserver des informations sur le matériel d'attestation qu'il a vérifié.
  3. Le SDK client App Check met en cache le jeton dans votre application, prêt à être envoyé avec toutes les demandes que votre application adresse aux services protégés.

Un service protégé par App Check accepte uniquement les demandes accompagnées d'un jeton App Check en cours de validité.

Quelle est la force de la sécurité fournie par App Check ?

App Check s'appuie sur la force de ses fournisseurs d'attestation pour déterminer l'authenticité de l'application ou de l'appareil. Cela empêche certains, mais pas tous, les vecteurs d'abus dirigés vers vos backends. L'utilisation d'App Check ne garantit pas l'élimination de tous les abus, mais en s'intégrant à App Check, vous faites un pas important vers la protection contre les abus pour vos ressources backend.

App Check et Firebase Authentication sont des éléments complémentaires de l'histoire de la sécurité de votre application. Firebase Authentication fournit une authentification de l'utilisateur, qui protège vos utilisateurs, tandis qu'App Check fournit une attestation de l'authenticité de l'application ou de l'appareil, qui vous protège, en tant que développeur. App Check protège l'accès à vos ressources Firebase en exigeant que les appels d'API contiennent un jeton Firebase App Check valide. Ces deux concepts fonctionnent ensemble pour aider à sécuriser votre application.

Quotas et limites

Votre utilisation d'App Check est soumise aux quotas et aux limites des fournisseurs d'attestation que vous utilisez.

  • L'accès à DeviceCheck est soumis à tous les quotas ou limitations définis par Apple.

  • SafetyNet a un quota quotidien de 10 000 appels. Pour plus d' informations sur demande une augmentation des quotas, consultez la documentation SafetyNet .

  • reCAPTCHA v3 a un quota mensuel de 1 million d'appels, ainsi qu'une limite de 1 000 QPS. Pour plus d' informations sur demande une augmentation des quotas, consultez la documentation reCAPTCHA .

Commencer

Prêt à commencer?

Commencez avec DeviceCheck sur iOS commencer à utiliser sur iOS App Certifier

Commencez sur Android

Lancez-vous sur les applications Web

Premiers pas avec les fournisseurs personnalisés