Verificação do aplicativo Firebase

O App Check ajuda a proteger os recursos da API contra abusos, evitando que clientes não autorizados acessem seus recursos de back-end. Ele funciona com serviços Firebase, serviços Google Cloud e suas próprias APIs para manter seus recursos seguros.

Com o App Check, os dispositivos que executam seu aplicativo usarão um provedor de atestado de aplicativo ou dispositivo que ateste um ou ambos os seguintes itens:

  • As solicitações originam-se do seu aplicativo autêntico
  • As solicitações se originam de um dispositivo autêntico e inalterado

Esse atestado é anexado a todas as solicitações que seu aplicativo faz às APIs especificadas. Ao ativar a aplicação do App Check, as solicitações de clientes sem um atestado válido serão rejeitadas, assim como qualquer solicitação originada de um aplicativo ou plataforma que você não tenha autorizado.

O App Check tem suporte integrado para usar os seguintes serviços como provedores de atestado:

Se isso for insuficiente para suas necessidades, você também poderá implementar seu próprio serviço que use um provedor de atestado terceirizado ou suas próprias técnicas de atestado.

Atualmente, o App Check funciona com os seguintes produtos do Firebase:

Produtos Firebase compatíveis
Banco de dados em tempo real
Cloud Fire Store
Armazenamento na núvem
Cloud Functions (funções que podem ser chamadas)
Autenticação (beta; requer atualização para Firebase Authentication com Identity Platform )

Você também pode usar o App Check para proteger seus recursos de back-end que não são do Firebase.

Pronto para começar?

iniciar

Como funciona?

Quando você habilita o App Check para um serviço e inclui o SDK do cliente em seu aplicativo, o seguinte acontece periodicamente:

  1. Seu aplicativo interage com o provedor de sua escolha para obter um atestado de autenticidade do aplicativo ou do dispositivo (ou ambos, dependendo do provedor).
  2. O atestado é enviado ao servidor App Check, que verifica a validade do atestado usando parâmetros registrados no aplicativo e retorna ao seu aplicativo um token do App Check com um prazo de validade. Este token pode reter algumas informações sobre o material de atestado verificado.
  3. O SDK do cliente App Check armazena em cache o token em seu aplicativo, pronto para ser enviado junto com quaisquer solicitações que seu aplicativo fizer a serviços protegidos.

Um serviço protegido pelo App Check aceita apenas solicitações acompanhadas de um token do App Check válido e atual.

Quão forte é a segurança fornecida pelo App Check?

O App Check depende da força de seus provedores de atestados para determinar a autenticidade do aplicativo ou dispositivo. Ele evita alguns, mas não todos, vetores de abuso direcionados aos seus back-ends. Usar o App Check não garante a eliminação de todos os abusos, mas ao integrar-se ao App Check, você está dando um passo importante em direção à proteção contra abusos para seus recursos de back-end.

O App Check e o Firebase Authentication são partes complementares da história de segurança do seu aplicativo. O Firebase Authentication fornece autenticação de usuário, que protege seus usuários, enquanto o App Check fornece atestado de autenticidade do aplicativo ou dispositivo, que protege você, o desenvolvedor. O App Check protege o acesso aos seus recursos do Firebase e back-ends personalizados, exigindo que as chamadas de API contenham um token válido do Firebase App Check. Esses dois conceitos funcionam juntos para ajudar a proteger seu aplicativo.

Cotas e limites

O uso do App Check está sujeito às cotas e limites dos provedores de certificação que você usa.

  • O acesso ao DeviceCheck e ao App Attest está sujeito a quaisquer cotas ou limitações definidas pela Apple.

  • O Play Integrity tem uma cota diária de 10.000 chamadas para seu nível de uso de API padrão. Para obter informações sobre como aumentar seu nível de uso, consulte a documentação do Play Integrity .

  • SafetyNet tem uma cota diária de 10.000 ligações. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação do SafetyNet .

  • O reCAPTCHA Enterprise é gratuito para 1 milhão de chamadas por mês e com custo superior a isso. Consulte preços do reCAPTCHA Enterprise .

iniciar

Pronto para começar?

Plataformas Apple

Atestado de aplicativo DeviceCheck

Android

Integridade do jogo

Rede

reCAPTCHA Empresarial

Vibração

Provedores padrão

C++

Provedores padrão

Unidade

Provedores padrão

Saiba como implementar um provedor personalizado do App Check:

Provedores personalizados

Saiba como usar o App Check para proteger seus recursos de back-end que não são do Firebase:

iOS+ Android Web Flutter