Firebase App Check

App Check pomaga chronić backendy aplikacji przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów backendu. Działa z usługami Google (w tym Firebase i usługami Google Cloud) oraz z niestandardowymi backendami, aby chronić Twoje zasoby.

W przypadku App Check urządzenia z Twoją aplikacją będą używać aplikacji lub dostawcy uwierzytelniania urządzenia, który potwierdza co najmniej 1 z tych 2 rzeczy:

  • prośby pochodzą z autentycznej aplikacji;
  • żądania pochodzą z autentycznego, niemodyfikowanego urządzenia;

To zaświadczenie jest dołączane do każdego żądania wysyłanego przez aplikację do wskazanych przez Ciebie interfejsów API. Gdy włączysz wymuszanie App Check, żądania od klientów bez ważnego poświadczenia zostaną odrzucone, podobnie jak żądania pochodzące z aplikacji lub platformy, których nie autoryzowałeś.

App Check obsługuje te usługi jako dostawców uwierzytelnienia:

Jeśli te opcje nie spełniają Twoich potrzeb, możesz też wdrożyć własną usługę, która korzysta z usług zewnętrznego dostawcy usługi attestacji lub z własnych technik attestacji.

App Check działa z tymi usługami Google:

Obsługiwane usługi Firebase i Google Cloud
Firebase Authentication (beta; wymaga uaktualnienia do wersji Firebase Authentication with Identity Platform)
Firebase Data Connect (wersja przedpremierowa)
Cloud Firestore
Firebase Realtime Database
Cloud Storage for Firebase
Cloud Functions for Firebase (tylko funkcje wywoływane)
Vertex AI in Firebase
Obsługiwane usługi Google Maps Platform
Maps JavaScript API (wersja w podglądzie)
Places API (Nowy) (wersja w podglądzie)
Inne obsługiwane usługi Google
Tożsamość Google na iOS

Możesz też używać App Check do ochrony zasobów niestandardowego backendu spoza Google, np. hostowanego przez siebie backendu.

Dowiedz się, jak zacząć

Jak to działa?

Gdy włączysz funkcję App Check w usłudze i umieścisz w aplikacji pakiet SDK klienta, co jakiś czas będzie się to działo:

  1. Aplikacja komunikuje się z wybranym przez Ciebie dostawcą, aby uzyskać potwierdzenie autentyczności aplikacji lub urządzenia (lub obu, w zależności od dostawcy).
  2. Potwierdzenie jest wysyłane na serwer App Check, który weryfikuje jego ważność za pomocą parametrów zarejestrowanych w aplikacji, a następnie zwraca do aplikacji token App Check z terminem ważności. Ten token może przechowywać pewne informacje o materiałach weryfikacyjnych, które zweryfikował.
  3. Pakiet SDK klienta App Check zapisuje w pamięci podręcznej token w aplikacji, aby można go było wysłać wraz z żądaniami wysyłanymi przez aplikację do chronionych usług.

Usługa chroniona przez App Check akceptuje tylko żądania z bieżącym, prawidłowym tokenem App Check.

Jak silne są zabezpieczenia oferowane przez App Check?

App Check korzysta z usług dostawców usług uwierzytelniania, aby określać autentyczność aplikacji lub urządzenia. Zapobiega ono niektórym, ale nie wszystkim wektorom nadużywania skierowanym przeciwko Twoim backendom. Korzystanie z App Check nie gwarantuje wyeliminowania wszystkich przypadków nadużyć, ale integracja z App Check to ważny krok w kierunku ochrony zasobów backendu przed nadużyciami.

App CheckFirebase Authentication to uzupełniające się elementy historii bezpieczeństwa aplikacji. Firebase Authentication zapewnia uwierzytelnianie użytkowników, co chroni ich przed zagrożeniami, a App Check zapewnia potwierdzenie autentyczności aplikacji lub urządzenia, co chroni dewelopera. App Check chroni dostęp do zasobów backendu Google i niestandardowych backendów, wymagając, aby wywołania interfejsu API zawierały prawidłowy token App Check. Te 2 koncepcje współdziałają ze sobą, aby zapewnić bezpieczeństwo aplikacji.

Limity

Korzystanie z App Check podlega limitom i limitom dostawców weryfikacji.

  • Dostęp do DeviceCheck i App Attest podlega wszelkim limitom i ograniczeniam określonym przez Apple.

  • W przypadku interfejsu Play Integrity API w ramach kategorii standardowej dzienny limit wynosi 10 tys. wywołań. Informacje o podwyższeniu poziomu wykorzystania znajdziesz w dokumentacji Play Integrity.

  • SafetyNet ma dzienny limit 10 tys. połączeń. Informacje o proszeniu o zwiększenie limitu znajdziesz w dokumentacji SafetyNet.

  • reCAPTCHA Enterprise jest bezpłatna w przypadku 10 tys. testów miesięcznie, a za każdy kolejny test naliczane są opłaty. Zapoznaj się z cenami reCAPTCHA.

Rozpocznij

Chcesz rozpocząć?

Platformy Apple

DeviceCheck App Attest

Android

Play Integrity

Sieć

reCAPTCHA Enterprise

Flutter

Domyślni dostawcy

Unity

Domyślni dostawcy

C++

Domyślni dostawcy

Dowiedz się, jak zaimplementować niestandardowy dostawca App Check

Dostawcy niestandardowi

Dowiedz się, jak używać App Check do ochrony niestandardowych zasobów backendu

Wybierz platformę:

iOS+ Android Sieć Flutter Unity C++