Catch up on everything we announced at this year's Firebase Summit. Learn more

Verificação de aplicativo Firebase

O App Check ajuda a proteger seus recursos de back-end contra abusos, como fraude de faturamento e phishing. Ele funciona com os serviços do Firebase e seus próprios back-ends para manter seus recursos protegidos.

Com o App Check, os dispositivos que executam seu aplicativo usarão um aplicativo ou provedor de atestado de dispositivo que ateste um ou ambos os seguintes:

  • As solicitações são originadas do seu aplicativo autêntico
  • As solicitações são originadas de um dispositivo autêntico e não manipulado

Este atestado é anexado a cada solicitação que seu aplicativo faz aos recursos de back-end do Firebase.

O App Check tem suporte integrado para usar os seguintes serviços como provedores de atestado:

Se isso for insuficiente para suas necessidades, você também pode implementar seu próprio serviço que usa um provedor de atestado terceirizado ou suas próprias técnicas de atestado.

A verificação de aplicativos atualmente funciona com os seguintes produtos Firebase:

Produtos compatíveis do Firebase
Realtime Database
Cloud Firestore (apenas iOS e Android; suporte da Web em breve)
Armazenamento na núvem
Cloud Functions (funções que podem ser chamadas)

Você também pode usar o App Check para proteger seus recursos de back-end não Firebase.

Pronto para começar?

iniciar

Como funciona?

Quando você ativa a Verificação de aplicativo para um serviço e inclui o SDK do cliente em seu aplicativo, o seguinte acontece periodicamente:

  1. Seu aplicativo interage com o provedor de sua escolha para obter um atestado da autenticidade do aplicativo ou dispositivo (ou ambos, dependendo do provedor).
  2. O atestado é enviado ao servidor App Check, que verifica a validade do atestado usando parâmetros registrados com o aplicativo e retorna ao seu aplicativo um token App Check com um tempo de expiração. Esse token pode reter algumas informações sobre o material de atestado que verificou.
  3. O SDK do cliente App Check armazena em cache o token em seu aplicativo, pronto para ser enviado junto com quaisquer solicitações que seu aplicativo faça para serviços protegidos.

Um serviço protegido por App Check aceita apenas solicitações acompanhadas por um token de App Check válido e atual.

Quão forte é a segurança fornecida pelo App Check?

A Verificação de aplicativos depende da força de seus provedores de atestado para determinar a autenticidade do aplicativo ou dispositivo. Ele evita alguns, mas não todos, vetores de abuso direcionados aos seus back-ends. Usar o App Check não garante a eliminação de todos os abusos, mas, ao se integrar ao App Check, você está dando um passo importante em direção à proteção contra abusos para seus recursos de back-end.

App Check e Firebase Authentication são partes complementares da história de segurança de seu aplicativo. O Firebase Authentication fornece autenticação do usuário, que protege seus usuários, enquanto o App Check fornece atestado de autenticidade do aplicativo ou dispositivo, que protege você, o desenvolvedor. O App Check protege o acesso aos recursos do Firebase e back-ends personalizados, exigindo que as chamadas de API contenham um token válido do Firebase App Check. Esses dois conceitos funcionam juntos para ajudar a proteger seu aplicativo.

Cotas e limites

O uso do App Check está sujeito às cotas e limites dos provedores de atestado que você usa.

  • O acesso DeviceCheck e App Attest está sujeito a quaisquer cotas ou limitações definidas pela Apple.

  • SafetyNet tem uma cota diária de 10.000 chamadas. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação SafetyNet .

  • O reCAPTCHA v3 tem uma cota mensal de 1 milhão de chamadas, bem como um limite de 1.000 QPS. Para obter informações sobre como solicitar um aumento de cota, consulte a documentação reCAPTCHA .

  • O reCAPTCHA Enterprise é gratuito para 1 milhão de chamadas por mês e a um custo além disso. Veja reCAPTCHA Empresa preços .

iniciar

Pronto para começar?

Plataformas Apple

DeviceCheck App Attest

Android

Internet Segura

Rede

reCAPTCHA v3 reCAPTCHA Empresa

Aprenda a implementar um provedor de verificação de aplicativo personalizado:

Provedores personalizados

Aprenda a usar o App Check para proteger seus recursos de back-end não Firebase:

iOS + Android Web