Проверка приложения Firebase

Проверка приложений работает вместе с другими службами Firebase, чтобы защитить ваши внутренние ресурсы от злоупотреблений, таких как мошенничество с выставлением счетов или фишинг. С помощью проверки приложений устройства, на которых запущено ваше приложение, будут использовать поставщика аттестации приложений или устройств, который подтверждает одно или оба из следующих условий:

  • Запросы исходят из вашего подлинного приложения
  • Запросы исходят от аутентичного, незащищенного устройства.

Это свидетельство прилагается к каждому запросу, который ваше приложение делает к вашим серверным ресурсам Firebase.

App Check имеет встроенную поддержку для использования следующих сервисов в качестве поставщиков аттестации:

Если этого недостаточно для ваших нужд, вы также можете реализовать свою собственную службу, которая использует стороннего поставщика аттестации или ваши собственные методы аттестации.

Проверка приложений в настоящее время работает со следующими продуктами Firebase:

  • База данных в реальном времени
  • Облачное хранилище
  • Облачные функции (вызываемые функции)

Начало работы с DeviceCheck на прошивке Начала работы с App Attest на прошивке

Начать работу на Android

Начните работу с веб-приложениями

Вы также можете использовать проверку приложений, чтобы защитить свои внутренние ресурсы, не относящиеся к Firebase:

IOS Android Web

Как это работает?

Когда вы включаете проверку приложений для службы и включаете клиентский SDK в свое приложение, периодически происходит следующее:

  1. Ваше приложение взаимодействует с выбранным вами поставщиком, чтобы получить подтверждение подлинности приложения или устройства (или того и другого, в зависимости от поставщика).
  2. Аттестация отправляется на сервер проверки приложений, который проверяет действительность аттестации с использованием параметров, зарегистрированных в приложении, и возвращает вашему приложению токен проверки приложения со сроком действия. Этот токен может содержать некоторую информацию о проверенных им материалах аттестации.
  3. Клиентский SDK для проверки приложений кэширует токен в вашем приложении, готовый к отправке вместе с любыми запросами, которые ваше приложение делает к защищенным службам.

Служба, защищенная функцией проверки приложений, принимает только запросы, сопровождаемые действующим токеном проверки приложений.

Насколько надежна безопасность, которую обеспечивает проверка приложений?

Проверка приложений полагается на надежность своих поставщиков аттестации для определения подлинности приложения или устройства. Это предотвращает некоторые, но не все, векторы злоупотреблений, направленные на ваши серверные ВМ. Использование проверки приложений не гарантирует устранение всех злоупотреблений, но, интегрируясь с проверкой приложений, вы делаете важный шаг на пути к защите ваших внутренних ресурсов от злоупотреблений.

Проверка приложений и проверка подлинности Firebase - дополнительные части истории безопасности вашего приложения. Firebase Authentication обеспечивает аутентификацию пользователей, которая защищает ваших пользователей, тогда как App Check обеспечивает подтверждение подлинности приложения или устройства, что защищает вас, разработчика. Проверка приложений защищает доступ к вашим ресурсам Firebase, требуя, чтобы вызовы API содержали действительный токен проверки приложений Firebase. Эти две концепции работают вместе, чтобы помочь защитить ваше приложение.

Квоты и лимиты

Использование вами проверки приложений регулируется квотами и ограничениями используемых вами поставщиков услуг аттестации.

  • Доступ к DeviceCheck регулируется квотами или ограничениями, установленными Apple.

  • SafetyNet имеет ежедневную квоту в 10 000 звонков. Для получения информации о запросе на увеличение квот см документации SafetyNet .

  • reCAPTCHA v3 имеет ежемесячную квоту в 1 миллион звонков, а также ограничение в 1000 запросов в секунду. Для получения информации о запросе на увеличение квот см документации ReCaptcha .

Начать

Готовы начать?

Начало работы с DeviceCheck на прошивке Начала работы с App Attest на прошивке

Начать работу на Android

Начните работу с веб-приложениями

Начните работу с настраиваемыми поставщиками