Check out what’s new from Firebase at Google I/O 2022. Learn more

Sprawdzanie aplikacji Firebase

Kontrola aplikacji pomaga chronić zasoby zaplecza przed nadużyciami, takimi jak oszustwa związane z rozliczeniami i wyłudzanie informacji. Współpracuje zarówno z usługami Firebase, jak i z Twoimi własnymi backendami, aby zapewnić bezpieczeństwo Twoich zasobów.

Dzięki funkcji App Check urządzenia, na których uruchomiona jest Twoja aplikacja, będą korzystać z dostawcy atestacji aplikacji lub urządzenia, który poświadcza co najmniej jedno z poniższych:

  • Żądania pochodzą z Twojej autentycznej aplikacji
  • Żądania pochodzą z autentycznego, nienaruszonego urządzenia

To zaświadczenie jest dołączane do każdego żądania, które Twoja aplikacja wysyła do zasobów zaplecza Firebase.

App Check ma wbudowaną obsługę korzystania z następujących usług jako dostawców atestacji:

Jeśli są one niewystarczające dla Twoich potrzeb, możesz również wdrożyć własną usługę, która wykorzystuje albo zewnętrznego dostawcę atestacji, albo własne techniki atestacji.

Kontrola aplikacji działa obecnie z następującymi produktami Firebase:

Obsługiwane produkty Firebase
Baza danych czasu rzeczywistego
Cloud Firestore
Magazyn w chmurze
Funkcje w chmurze (funkcje, które można wywoływać)

Za pomocą Kontroli aplikacji możesz też chronić zasoby zaplecza inne niż Firebase.

Gotowy żeby zacząć?

Zaczynaj

Jak to działa?

Gdy włączysz sprawdzanie aplikacji dla usługi i dołączysz pakiet SDK klienta do swojej aplikacji, co jakiś czas zdarzają się następujące sytuacje:

  1. Twoja aplikacja wchodzi w interakcję z wybranym dostawcą, aby uzyskać poświadczenie autentyczności aplikacji lub urządzenia (lub obu, w zależności od dostawcy).
  2. Poświadczenie jest wysyłane do serwera App Check, który weryfikuje ważność poświadczenia przy użyciu parametrów zarejestrowanych w aplikacji i zwraca do aplikacji token App Check z czasem wygaśnięcia. Ten token może zawierać pewne informacje o zweryfikowanym materiale atestacyjnym.
  3. Pakiet SDK klienta App Check buforuje token w Twojej aplikacji, gotowy do wysłania wraz z wszelkimi żądaniami, które Twoja aplikacja wysyła do chronionych usług.

Usługa chroniona przez App Check akceptuje tylko żądania, którym towarzyszy aktualny, ważny token App Check.

Jak silne jest bezpieczeństwo zapewniane przez App Check?

Kontrola aplikacji opiera się na sile dostawców atestacji w celu określenia autentyczności aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim, wektorom nadużyć skierowanych na twoje backendy. Korzystanie z App Check nie gwarantuje wyeliminowania wszystkich nadużyć, ale integrując się z App Check, robisz ważny krok w kierunku ochrony przed nadużyciami zasobów zaplecza.

Sprawdzanie aplikacji i Uwierzytelnianie Firebase to uzupełniające się elementy historii bezpieczeństwa Twojej aplikacji. Uwierzytelnianie Firebase zapewnia uwierzytelnianie użytkownika, które chroni Twoich użytkowników, podczas gdy Sprawdzanie aplikacji zapewnia poświadczenie autentyczności aplikacji lub urządzenia, które chroni Ciebie, programistę. Kontrola aplikacji chroni dostęp do zasobów Firebase i niestandardowych backendów, wymagając, aby wywołania interfejsu API zawierały prawidłowy token kontroli aplikacji Firebase. Te dwie koncepcje współpracują ze sobą, aby pomóc zabezpieczyć Twoją aplikację.

Kontyngenty i limity

Korzystanie z Kontroli Aplikacji podlega limitom i limitom dostawców atestacji, z których korzystasz.

  • Dostęp do DeviceCheck i App Atest podlega wszelkim limitom lub ograniczeniom ustalonym przez Apple.

  • Play Integrity ma dzienny limit 10 000 wywołań w warstwie użycia Standard API. Aby uzyskać informacje o podnoszeniu poziomu użytkowania, zapoznaj się z dokumentacją Play Integrity .

  • SafetyNet ma dzienny limit 10 000 połączeń. Aby uzyskać informacje na temat żądania zwiększenia limitu, zapoznaj się z dokumentacją SafetyNet .

  • reCAPTCHA v3 ma miesięczny limit 1 miliona wywołań, a także limit 1000 QPS. Aby uzyskać informacje na temat żądania zwiększenia limitu, zapoznaj się z dokumentacją reCAPTCHA .

  • reCAPTCHA Enterprise jest bezpłatny za 1 milion połączeń miesięcznie, a ponadto kosztuje więcej. Zobacz cennik reCAPTCHA Enterprise .

Zaczynaj

Gotowy żeby zacząć?

Platformy Apple

Atest aplikacji DeviceCheck

Android

Play Integrity SafetyNet

Sieć

reCAPTCHA v3 reCAPTCHA Enterprise

Trzepotanie

Domyślni dostawcy

Dowiedz się, jak zaimplementować niestandardowego dostawcę sprawdzania aplikacji:

Dostawcy usług niestandardowych

Dowiedz się, jak używać Kontroli aplikacji do ochrony zasobów zaplecza innych niż Firebase:

Trzepotanie w sieci na iOS+ Android