Firebase App Check

App Check ช่วยปกป้องทรัพยากร API ของคุณจากการละเมิดโดยป้องกันไม่ให้ไคลเอ็นต์ที่ไม่ได้รับอนุญาตเข้าถึงทรัพยากรแบ็กเอนด์ โดยทำงานร่วมกับทั้งบริการของ Google (รวมถึงบริการ Firebase และ Google Cloud) และ API ของคุณเองเพื่อรักษาทรัพยากรให้ปลอดภัย

เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปจะใช้ผู้ให้บริการเอกสารรับรองของแอปหรืออุปกรณ์ที่ยืนยันข้อใดข้อหนึ่งหรือทั้ง 2 ข้อต่อไปนี้

  • คำขอมาจากแอปจริงของคุณ
  • คำขอมีต้นกำเนิดมาจากอุปกรณ์แท้ที่ไม่มีการอัปเดต

เอกสารรับรองนี้จะแนบไปกับคำขอทุกรายการที่แอปส่งไปยัง API ที่คุณระบุ เมื่อคุณเปิดใช้การบังคับใช้ App Check คำขอจากไคลเอ็นต์ที่ไม่มีเอกสารรับรองที่ถูกต้องจะถูกปฏิเสธ เช่นเดียวกับคำขอที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้อนุญาต

App Check มีการรองรับในตัวสำหรับการใช้บริการต่อไปนี้เป็นผู้ให้บริการเอกสารรับรอง

หากจำนวนเหล่านี้ไม่เพียงพอต่อความต้องการ คุณยังใช้บริการของคุณเองที่ใช้ผู้ให้บริการเอกสารรับรองบุคคลที่สามหรือเทคนิคเอกสารรับรองของคุณเองได้อีกด้วย

App Check ใช้งานได้กับบริการของ Google ต่อไปนี้

บริการของ Google ที่รองรับ
Realtime Database
Cloud Firestore
Cloud Storage
Cloud Functions (ฟังก์ชันที่เรียกใช้ได้)
การตรวจสอบสิทธิ์ (เบต้า ต้องอัปเกรดเป็นการตรวจสอบสิทธิ์ Firebase ด้วย Identity Platform)
Google Identity สำหรับ iOS (เบต้า)
Vertex AI สำหรับ Firebase (เวอร์ชันตัวอย่าง)

คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google ได้ด้วย

หากพร้อมที่จะเริ่มแล้ว

เริ่มใช้งาน

ทำงานอย่างไร

เมื่อคุณเปิดใช้ App Check สำหรับบริการและรวม SDK ของไคลเอ็นต์ไว้ในแอป เหตุการณ์ต่อไปนี้จะเกิดขึ้นเป็นระยะๆ

  1. แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อขอรับเอกสารรับรอง เกี่ยวกับความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้ง 2 อย่าง ขึ้นอยู่กับผู้ให้บริการ)
  2. ระบบจะส่งเอกสารรับรองไปยังเซิร์ฟเวอร์ App Check ซึ่งจะยืนยันความถูกต้องของเอกสารรับรองโดยใช้พารามิเตอร์ที่ลงทะเบียนไว้กับแอป และกลับไปยังโทเค็น App Check พร้อมเวลาหมดอายุ โทเค็นนี้อาจเก็บข้อมูลบางอย่างเกี่ยวกับเนื้อหาเอกสารรับรองที่ยืนยัน
  3. SDK ของไคลเอ็นต์ App Check จะแคชโทเค็นในแอปของคุณ ซึ่งพร้อมส่งไปพร้อมกับคำขอที่แอปส่งไปยังบริการที่ได้รับการปกป้อง

บริการที่ปกป้องโดย App Check จะยอมรับคำขอที่มาพร้อมกับโทเค็น App Check ที่ถูกต้องในปัจจุบันเท่านั้น

App Check มีการรักษาความปลอดภัยที่เข้มงวดเพียงใด

App Check จะใช้ความเชื่อถือได้ของผู้ให้บริการเอกสารรับรองในการพิจารณาความถูกต้องของแอปหรืออุปกรณ์ โดยจะป้องกันเวกเตอร์การละเมิดบางส่วนที่มุ่งเป้าไปยังแบ็กเอนด์ของคุณ แต่ไม่ใช่ทั้งหมด การใช้ App Check ไม่ได้รับประกันว่าจะสามารถกำจัดการละเมิดได้ทั้งหมด แต่การผสานรวมกับ App Check ทำให้คุณมีขั้นตอนสำคัญในการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์

App Check และการตรวจสอบสิทธิ์ Firebase เป็นส่วนเสริมของเรื่องราวการรักษาความปลอดภัยของแอป การตรวจสอบสิทธิ์ Firebase มีการตรวจสอบสิทธิ์ผู้ใช้ซึ่งจะปกป้องผู้ใช้ ส่วน App Check จะรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งช่วยปกป้องคุณซึ่งเป็นนักพัฒนาแอป App Check จะป้องกันการเข้าถึงทรัพยากร Firebase และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API มีโทเค็น Firebase App Check ที่ถูกต้อง แนวคิดทั้ง 2 อย่างนี้จะทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอปของคุณ

โควต้าและขีดจำกัด

การใช้ App Check ขึ้นอยู่กับโควต้าและขีดจำกัดของผู้ให้บริการเอกสารรับรองที่คุณใช้

  • การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดที่ Apple กำหนดไว้

  • Play Integrity มีโควต้าการเรียกใช้รายวัน 10,000 ครั้งสำหรับระดับการใช้งาน API มาตรฐาน ดูข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งานได้ในเอกสารประกอบของ Play Integrity

  • SafetyNet มีโควต้าการโทรรายวันสูงสุด 10,000 ครั้ง โปรดดูข้อมูลเกี่ยวกับการขอโควต้าเพิ่มในเอกสารของ SafetyNet

  • reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการโทร 1 ล้านครั้งต่อเดือน และมีค่าใช้จ่ายมากกว่านั้น โปรดดูราคา reCAPTCHA Enterprise

เริ่มต้นใช้งาน

หากพร้อมที่จะเริ่มแล้ว

แพลตฟอร์มของ Apple

DeviceCheck เอกสารรับรองแอป

Android

ความสมบูรณ์ของ Play

เว็บไซต์

reCAPTCHA Enterprise

Flutter

ผู้ให้บริการเริ่มต้น

C++

ผู้ให้บริการเริ่มต้น

Unity

ผู้ให้บริการเริ่มต้น

ดูวิธีใช้ผู้ให้บริการ App Check ที่กำหนดเอง

ผู้ให้บริการที่กำหนดเอง

ดูวิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase

iOS+ Android เว็บ Flutter