Verificação de aplicativos do Firebase

O App Check ajuda a proteger seus recursos de back-end contra abusos, como fraudes de cobrança e phishing. Ele funciona com os serviços do Firebase e seus próprios back-ends para manter seus recursos seguros.

Com o App Check, os dispositivos que executam seu aplicativo usarão um provedor de atestado de aplicativo ou dispositivo que atesta um ou ambos os itens a seguir:

  • As solicitações se originam do seu aplicativo autêntico
  • As solicitações se originam de um dispositivo autêntico e inviolável

Esse atestado é anexado a todas as solicitações que seu aplicativo faz aos recursos de back-end do Firebase.

O App Check tem suporte integrado para usar os seguintes serviços como provedores de atestado:

Se estes forem insuficientes para suas necessidades, você também pode implementar seu próprio serviço que usa um provedor de atestado de terceiros ou suas próprias técnicas de atestado.

Atualmente, o App Check funciona com os seguintes produtos Firebase:

Produtos compatíveis do Firebase
Banco de dados em tempo real
Cloud Firestore
Armazenamento na núvem
Funções do Cloud (funções que podem ser chamadas)

Você também pode usar o App Check para proteger seus recursos de back-end que não são do Firebase.

Pronto para começar?

iniciar

Como funciona?

Quando você habilita o App Check para um serviço e inclui o SDK do cliente em seu aplicativo, o seguinte acontece periodicamente:

  1. Seu aplicativo interage com o provedor de sua escolha para obter um atestado da autenticidade do aplicativo ou dispositivo (ou ambos, dependendo do provedor).
  2. O atestado é enviado ao servidor do App Check, que verifica a validade do atestado usando parâmetros registrados no aplicativo e retorna ao seu aplicativo um token do App Check com prazo de validade. Esse token pode reter algumas informações sobre o material de atestado verificado.
  3. O SDK do cliente do App Check armazena em cache o token em seu aplicativo, pronto para ser enviado junto com qualquer solicitação que seu aplicativo faça a serviços protegidos.

Um serviço protegido pelo App Check só aceita solicitações acompanhadas de um token de App Check atual e válido.

Quão forte é a segurança fornecida pelo App Check?

O App Check depende da força de seus provedores de atestado para determinar a autenticidade do aplicativo ou do dispositivo. Ele evita alguns, mas não todos, vetores de abuso direcionados aos seus back-ends. O uso do App Check não garante a eliminação de todos os abusos, mas ao integrar-se ao App Check, você está dando um passo importante em direção à proteção contra abusos para seus recursos de back-end.

O App Check e o Firebase Authentication são partes complementares da história de segurança do seu app. O Firebase Authentication fornece autenticação de usuário, que protege seus usuários, enquanto o App Check fornece atestado de autenticidade do aplicativo ou dispositivo, que protege você, o desenvolvedor. O App Check protege o acesso aos seus recursos do Firebase e back-ends personalizados exigindo que as chamadas de API contenham um token válido do Firebase App Check. Esses dois conceitos funcionam juntos para ajudar a proteger seu aplicativo.

Cotas e limites

Seu uso do App Check está sujeito às cotas e limites dos provedores de atestado que você usa.

  • O acesso DeviceCheck e App Attest está sujeito a quaisquer cotas ou limitações definidas pela Apple.

  • SafetyNet tem uma cota diária de 10.000 chamadas. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação SafetyNet .

  • O reCAPTCHA v3 tem uma cota mensal de 1 milhão de chamadas, além de um limite de 1.000 QPS. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação reCAPTCHA .

  • O reCAPTCHA Enterprise não tem custo para 1 milhão de chamadas por mês e tem um custo além disso. Veja reCAPTCHA Empresa preços .

iniciar

Pronto para começar?

Plataformas da Apple

DeviceCheck App Attest

Android

Internet Segura

Rede

reCAPTCHA v3 reCAPTCHA Empresa

Saiba como implementar um provedor personalizado do App Check:

Provedores personalizados

Saiba como usar o App Check para proteger seus recursos de back-end que não são do Firebase:

iOS + Android Web