Kontrola aplikacji Firebase

Kontrola aplikacji pomaga chronić zasoby API przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów zaplecza. Współpracuje zarówno z usługami Firebase, usługami Google Cloud, jak i Twoimi własnymi interfejsami API, aby zapewnić bezpieczeństwo Twoich zasobów.

Dzięki Sprawdzaniu aplikacji urządzenia, na których działa Twoja aplikacja, będą korzystać z aplikacji lub dostawcy atestów urządzeń, który poświadcza jeden lub oba z poniższych warunków:

  • Żądania pochodzą z Twojej autentycznej aplikacji
  • Żądania pochodzą z autentycznego, nienaruszonego urządzenia

To zaświadczenie jest dołączane do każdego żądania wysyłanego przez Twoją aplikację do określonych interfejsów API. Po włączeniu wymuszania Sprawdzania aplikacji żądania od klientów bez ważnego zaświadczenia będą odrzucane, podobnie jak wszelkie żądania pochodzące z aplikacji lub platformy, której nie autoryzowałeś.

App Check ma wbudowaną obsługę korzystania z następujących usług jako dostawców atestów:

Jeśli są one niewystarczające dla Twoich potrzeb, możesz także wdrożyć własną usługę, która korzysta z zewnętrznego dostawcy atestów lub własnych technik atestacji.

Sprawdzanie aplikacji działa obecnie z następującymi produktami Firebase:

Obsługiwane produkty Firebase
Baza danych czasu rzeczywistego
Chmura Firestore
Magazyn w chmurze
Funkcje chmury (funkcje wywoływalne)
Uwierzytelnianie (beta; wymaga aktualizacji do uwierzytelniania Firebase z platformą tożsamości )

Możesz także użyć Sprawdzania aplikacji, aby chronić zasoby zaplecza inne niż Firebase.

Gotowy żeby zacząć?

Zaczynaj

Jak to działa?

Po włączeniu Sprawdzania aplikacji dla usługi i dołączeniu pakietu SDK klienta do aplikacji okresowo mają miejsce następujące zdarzenia:

  1. Twoja aplikacja wchodzi w interakcję z wybranym dostawcą w celu uzyskania potwierdzenia autentyczności aplikacji lub urządzenia (lub obu, w zależności od dostawcy).
  2. Zaświadczenie wysyłane jest do serwera App Check, który weryfikuje ważność zaświadczenia przy użyciu parametrów zarejestrowanych w aplikacji i zwraca do Twojej aplikacji token App Check z datą ważności. Token ten może przechowywać pewne informacje na temat zweryfikowanego materiału atestacyjnego.
  3. Pakiet SDK klienta App Check buforuje token w Twojej aplikacji i jest gotowy do wysłania wraz z wszelkimi żądaniami wysyłanymi przez aplikację do chronionych usług.

Usługa chroniona przez Sprawdzanie aplikacji akceptuje wyłącznie żądania z aktualnym, ważnym tokenem sprawdzania aplikacji.

Jak silne jest bezpieczeństwo zapewniane przez App Check?

App Check opiera się na sile swoich dostawców atestów w celu ustalenia autentyczności aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim, wektorom nadużyć skierowanych w stronę backendów. Korzystanie z Kontroli aplikacji nie gwarantuje wyeliminowania wszystkich nadużyć, ale integrując się z Kontrolą aplikacji, robisz ważny krok w kierunku ochrony zasobów backendu przed nadużyciami.

Sprawdzanie aplikacji i uwierzytelnianie Firebase to uzupełniające się części historii bezpieczeństwa Twojej aplikacji. Uwierzytelnianie Firebase zapewnia uwierzytelnianie użytkownika, które chroni Twoich użytkowników, podczas gdy App Check zapewnia poświadczenie autentyczności aplikacji lub urządzenia, co chroni Ciebie, programistę. App Check chroni dostęp do zasobów Firebase i niestandardowych backendów, wymagając, aby wywołania API zawierały prawidłowy token Firebase App Check. Te dwie koncepcje współpracują ze sobą, aby pomóc zabezpieczyć aplikację.

Kwoty i limity

Korzystanie z App Check podlega przydziałom i limitom dostawców atestów, z których korzystasz.

  • Dostęp do funkcji DeviceCheck i App Attest podlega przydziałom i ograniczeniom ustalonym przez firmę Apple.

  • Play Integrity ma dzienny limit 10 000 połączeń w ramach standardowego poziomu wykorzystania interfejsu API. Informacje na temat podnoszenia poziomu wykorzystania znajdziesz w dokumentacji dotyczącej uczciwości gry .

  • SafetyNet ma dzienny limit 10 000 połączeń. Informacje na temat składania wniosków o zwiększenie limitu można znaleźć w dokumentacji SafetyNet .

  • reCAPTCHA Enterprise jest bezpłatna w przypadku 1 miliona połączeń miesięcznie, a poza tym jest płatna. Zobacz cennik reCAPTCHA Enterprise .

Zaczynaj

Gotowy żeby zacząć?

Platformy Apple

Certyfikat aplikacji DeviceCheck

Android

Graj w uczciwość

Sieć

reCAPTCHA Przedsiębiorstwo

Trzepotanie

Domyślni dostawcy

C++

Domyślni dostawcy

Jedność

Domyślni dostawcy

Dowiedz się, jak wdrożyć niestandardowego dostawcę sprawdzania aplikacji:

Dostawcy niestandardowi

Dowiedz się, jak używać Sprawdzania aplikacji, aby chronić zasoby backendu inne niż Firebase:

Trzepot sieci w systemie iOS+ Android