Firebase Uygulama Kontrolü

Uygulama Kontrolü, yetkisiz istemcilerin arka uç kaynaklarınıza erişmesini önleyerek API kaynaklarınızın kötüye kullanıma karşı korunmasına yardımcı olur. Kaynaklarınızı güvende tutmak için hem Firebase hizmetleriyle, hem Google Cloud hizmetleriyle hem de kendi API'lerinizle çalışır.

Uygulama Kontrolü ile uygulamanızı çalıştıran cihazlar aşağıdakilerden birini veya her ikisini birden doğrulayan bir uygulama veya cihaz doğrulama sağlayıcısını kullanır:

  • İstekler orijinal uygulamanızdan geliyor
  • İstekler orijinal, kurcalanmamış bir cihazdan geliyor

Bu onay, uygulamanızın belirttiğiniz API'lere yaptığı her isteğe eklenir. Uygulama Kontrolü yaptırımını etkinleştirdiğinizde, yetkilendirmediğiniz bir uygulama veya platformdan kaynaklanan talepler gibi, geçerli bir onayı olmayan müşterilerden gelen talepler de reddedilecektir.

Uygulama Kontrolü, aşağıdaki hizmetleri doğrulama sağlayıcıları olarak kullanmak için yerleşik desteğe sahiptir:

Bunlar ihtiyaçlarınız için yeterli değilse, üçüncü taraf bir doğrulama sağlayıcısını veya kendi doğrulama tekniklerinizi kullanan kendi hizmetinizi de uygulayabilirsiniz.

Uygulama Kontrolü şu anda aşağıdaki Firebase ürünleriyle çalışmaktadır:

Desteklenen Firebase ürünleri
Gerçek Zamanlı Veritabanı
Bulut Firestore
Bulut depolama
Bulut İşlevleri (çağrılabilir işlevler)
Kimlik Doğrulama (beta; Identity Platform ile Firebase Kimlik Doğrulamasına yükseltme gerektirir)

Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü de kullanabilirsiniz.

başlamaya hazır mısın?

Başlamak

O nasıl çalışır?

Bir hizmet için Uygulama Denetimi'ni etkinleştirdiğinizde ve istemci SDK'sını uygulamanıza eklediğinizde aşağıdakiler düzenli aralıklarla gerçekleşir:

  1. Uygulamanız, uygulamanın veya cihazın orijinalliğine (veya sağlayıcıya bağlı olarak her ikisine) ilişkin bir onay almak için seçtiğiniz sağlayıcıyla etkileşime girer.
  2. Onay, uygulamaya kayıtlı parametreleri kullanarak doğrulamanın geçerliliğini doğrulayan Uygulama Kontrolü sunucusuna gönderilir ve uygulamanıza, son kullanma tarihi olan bir Uygulama Kontrolü belirtecini döndürür. Bu belirteç, doğruladığı doğrulama materyali hakkında bazı bilgileri tutabilir.
  3. Uygulama Kontrolü istemci SDK'sı, uygulamanızın korumalı hizmetlere yaptığı tüm isteklerle birlikte gönderilmeye hazır şekilde uygulamanızdaki belirteci önbelleğe alır.

Uygulama Kontrolü tarafından korunan bir hizmet, yalnızca güncel ve geçerli bir Uygulama Kontrolü jetonunun eşlik ettiği istekleri kabul eder.

Uygulama Kontrolü tarafından sağlanan güvenlik ne kadar güçlü?

Uygulama Kontrolü, uygulama veya cihazın orijinalliğini belirlemek için onay sağlayıcılarının gücüne güvenir. Arka uçlarınıza yönelik kötüye kullanım vektörlerinin hepsini olmasa da bazılarını engeller. Uygulama Kontrolü'nü kullanmak tüm kötüye kullanımların ortadan kaldırılacağını garanti etmez, ancak Uygulama Kontrolü ile entegre olarak arka uç kaynaklarınız için kötüye kullanıma karşı koruma yönünde önemli bir adım atmış olursunuz.

Uygulama Kontrolü ve Firebase Kimlik Doğrulaması, uygulama güvenlik hikayenizin tamamlayıcı parçalarıdır. Firebase Kimlik Doğrulaması, kullanıcılarınızı koruyan kullanıcı kimlik doğrulaması sağlarken Uygulama Kontrolü, geliştirici olarak sizi koruyan uygulama veya cihaz orijinalliğinin onaylanmasını sağlar. Uygulama Kontrolü, API çağrılarının geçerli bir Firebase Uygulama Kontrolü jetonu içermesini zorunlu kılarak Firebase kaynaklarınıza ve özel arka uçlarınıza erişimi korur. Bu iki kavram, uygulamanızın güvenliğinin sağlanmasına yardımcı olmak için birlikte çalışır.

Kotalar ve sınırlar

Uygulama Kontrolü kullanımınız, kullandığınız doğrulama sağlayıcılarının kotalarına ve sınırlarına tabidir.

  • DeviceCheck ve App Attest erişimi, Apple tarafından belirlenen kotalara veya sınırlamalara tabidir.

  • Play Integrity'nin Standart API kullanım katmanı için günlük 10.000 çağrı kotası vardır. Kullanım düzeyinizi yükseltmeye ilişkin bilgi için Play Integrity belgelerine bakın.

  • SafetyNet'in günlük 10.000 çağrı kotası vardır. Kota artışı talep etme hakkında bilgi için SafetyNet belgelerine bakın.

  • reCAPTCHA Enterprise ayda 1 milyon çağrı için ücretsizdir ve bunun ötesinde bir maliyete sahiptir. reCAPTCHA Enterprise fiyatlandırmasına bakın.

Başlamak

başlamaya hazır mısın?

Apple platformları

DeviceCheck Uygulama Onayı

Android

Dürüstlük oyna

reCAPTCHA Kurumsal

çarpıntı

Varsayılan sağlayıcılar

C++

Varsayılan sağlayıcılar

Birlik

Varsayılan sağlayıcılar

Özel bir Uygulama Kontrolü sağlayıcısının nasıl uygulanacağını öğrenin:

Özel sağlayıcılar

Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü nasıl kullanacağınızı öğrenin:

iOS+ Android Web Flutter