Firebase App Check

App Check עוזר להגן על הקצוות העורפיים של האפליקציה מפני ניצול לרעה על ידי מניעה לאפשר ללקוחות לא מורשים לגשת למשאבי הקצה העורפי שלכם. הוא פועל עם גם שירותי Google (כולל שירותי Firebase ו-Google Cloud) וגם קצוות עורפיים משלהם כדי לשמור על בטיחות המשאבים שלכם.

עם App Check, מכשירים שמריצים את האפליקציה שלך יתבססו על אפליקציה או מכשיר ספק אימות שמאמת אחד מהפרטים הבאים או את שניהם:

  • הבקשות מגיעות מהאפליקציה האותנטית שלך
  • הבקשות מגיעות ממכשיר אותנטי שלא נפגע

האימות מצורף לכל בקשה שהאפליקציה שולחת לממשקי ה-API שציינתם. כשמפעילים את האכיפה של App Check, בקשות מלקוחות ללא אימות תקף נדחות, וכך גם כל בקשה שמגיעה מאפליקציה או מפלטפורמה שלא אושרה.

ב-App Check יש תמיכה מובנית לשימוש בשירותים הבאים בתור ספקי אימות (attestation):

אם הפרטים האלה לא מספיקים לצרכים שלך, אפשר גם להטמיע משלך שירות שמשתמש בספק אימות (attestation) של צד שלישי או טכניקות לאימות (attestation).

App Check פועל עם שירותי Google הבאים:

שירותי Google נתמכים
Realtime Database
Cloud Firestore
Cloud Storage
Cloud Functions (פונקציות קריאה)
Authentication (בטא, נדרש שדרוג ל-Firebase Authentication with Identity Platform)
Google Identity ל-iOS (בטא)
Vertex AI in Firebase (תצוגה מקדימה)

אפשר גם להשתמש ב-App Check כדי להגן על משאבי הקצה העורפי שאינם של Google.

כאן מוסבר איך מתחילים

איך זה עובד?

כשמפעילים את App Check לשירות מסוים וכוללים את ה-SDK של הלקוח באפליקציה שלכם, מדי פעם קורים הדברים הבאים:

  1. האפליקציה מקיימת אינטראקציה עם ספק לבחירתך כדי לקבל אימות של האותנטיות של האפליקציה או המכשיר (או שניהם, בהתאם לספק).
  2. האימות נשלח לשרת App Check, שמאמת את תוקף האימות באמצעות פרמטרים שרשומים באפליקציה, וכן מחזירה לאפליקציה שלך אסימון App Check עם זמן תפוגה. הזה האסימון עשוי לשמור מידע על חומר האימות שלו מאומת.
  3. ה-SDK של הלקוח App Check שומר את האסימון באפליקציה שלך ומוכן לשליחה יחד עם כל בקשה שהאפליקציה שלך שולחת לשירותים מוגנים.

שירות שמוגן על ידי App Check מקבל רק בקשות שנלוות אליו באמצעות אסימון App Check חוקי ונוכחי.

עד כמה האבטחה של App Check חזקה?

App Check מסתמך על העוצמה של ספקי האימות (attestation) שלו כדי לקבוע האותנטיות של האפליקציה או המכשיר. הוא מונע חלק מהווקטורים של ניצול לרעה, אבל לא את כולם שמיועדים לקצה העורפי. השימוש ב-App Check לא מבטיח היעדר כל התנהלות פוגעת, אבל על ידי שילוב עם App Check, נקיטת צעד חשוב בהגנה מפני ניצול לרעה של משאבי הקצה העורפי שלכם.

App Check ו-Firebase Authentication הם חלקים משלימים של אבטחת האפליקציה. האפליקציה Firebase Authentication מספקת אימות משתמש, שמגן על משתמשים, ואילו App Check מספק אימות לגבי אותנטיות של האפליקציה או המכשיר, שמגן עליך, מפתח. App Check שומר על הגישה שלך ל-Google משאבי קצה עורפי וקצוות עורפיים בהתאמה אישית על ידי דרישה לקריאות ל-API להכיל ערך תקין של אסימון App Check. שני המושגים האלה פועלים יחד כדי לאבטח את האפליקציה.

מכסות ומגבלות

השימוש שלך ב-App Check כפוף למכסות ולמגבלות של האימות (attestation) הספקים שבהם אתם משתמשים.

  • הגישה ל-DeviceCheck ול-App Attest כפופה למכסות או למגבלות שקבעה Apple.

  • ברמת השימוש הרגילה ב-API של Play Integrity יש מכסה יומית של 10,000 קריאות. למידע על העלאת רמת השימוש, אפשר לעיין ב מסמכי תיעוד של Play Integrity.

  • לאתר SafetyNet יש מכסה יומית של 10,000 קריאות. לקבלת מידע על בקשת להגדלת המכסה, ראו מסמכי תיעוד של SafetyNet.

  • שירות reCAPTCHA Enterprise ללא עלות ל-10,000 בדיקות בכל חודש, ויש לו בעלות גבוהה יותר. ראו תמחור של ReCAPTCHA.

שנתחיל?

שנתחיל?

פלטפורמות של Apple

DeviceCheck App Attest

Android

Play Integrity

אינטרנט

reCAPTCHA Enterprise

Flutter

ספקים שמוגדרים כברירת מחדל

C++‎

ספקים שמוגדרים כברירת מחדל

Unity

ספקים שמוגדרים כברירת מחדל

איך מטמיעים ספק App Check בהתאמה אישית

ספקים בהתאמה אישית

איך להשתמש ב-App Check כדי להגן על משאבי הקצה העורפי שאינם של Google

בחירת הפלטפורמה:

iOS+ Android אתר Flutter