Firebase App Check
App Check giúp bảo vệ phần phụ trợ của ứng dụng khỏi hành vi sai trái bằng cách ngăn chặn máy khách chưa được cấp phép truy cập tài nguyên phụ trợ của bạn. API này hoạt động với cả các dịch vụ của Google (bao gồm cả Firebase và các dịch vụ của Google Cloud) và phần phụ trợ của riêng bạn để đảm bảo an toàn cho tài nguyên của bạn.
Với App Check, các thiết bị chạy ứng dụng của bạn sẽ sử dụng một nhà cung cấp chứng thực ứng dụng hoặc thiết bị chứng thực một hoặc cả hai điều sau:
- Yêu cầu bắt nguồn từ ứng dụng chính thống của bạn
- Yêu cầu bắt nguồn từ một thiết bị xác thực, không bị can thiệp
Thông tin chứng thực này được đính kèm vào mọi yêu cầu mà ứng dụng của bạn gửi đến các API mà bạn chỉ định. Khi bạn bật chế độ thực thi App Check, các yêu cầu từ những khách hàng không có chứng thực hợp lệ đều sẽ bị từ chối, cũng như mọi yêu cầu khác bắt nguồn từ một ứng dụng hoặc nền tảng mà bạn chưa cho phép.
App Check tích hợp tính năng hỗ trợ sử dụng các dịch vụ sau đây làm nhà cung cấp chứng thực:
- Kiểm tra thiết bị hoặc Chứng thực ứng dụng trên các nền tảng của Apple
- API Tính toàn vẹn của Play trên Android
- reCAPTCHA Enterprise trên các ứng dụng web.
Nếu các dịch vụ này không đáp ứng nhu cầu của bạn, bạn cũng có thể triển khai dịch vụ của riêng mình sử dụng nhà cung cấp chứng thực bên thứ ba hoặc các kỹ thuật chứng thực của riêng bạn.
App Check hoạt động với các dịch vụ sau của Google:
| Các dịch vụ của Google được hỗ trợ |
|---|
| Firebase Data Connect (Xem trước) |
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (các hàm có thể gọi) |
| Authentication (thử nghiệm; cần nâng cấp lên Firebase Authentication with Identity Platform) |
| Google Identity dành cho iOS (beta) |
| Vertex AI in Firebase (Xem trước) |
Bạn cũng có thể sử dụng App Check để bảo vệ các tài nguyên phụ trợ không phải của Google.
Tính năng này hoạt động như thế nào?
Khi bạn bật App Check cho một dịch vụ và đưa SDK ứng dụng vào ứng dụng, những việc sau đây sẽ xảy ra định kỳ:
- Ứng dụng của bạn tương tác với nhà cung cấp mà bạn chọn để xác thực tính xác thực của ứng dụng hoặc thiết bị (hoặc cả hai, tuỳ thuộc vào nhà cung cấp).
- Chứng thực này được gửi đến máy chủ App Check, máy chủ này sẽ xác minh tính hợp lệ của quy trình chứng thực thông qua các tham số đã đăng ký với ứng dụng, và sẽ trả về cho ứng dụng của bạn một mã thông báo App Check có thời gian hết hạn. Chiến dịch này mã thông báo có thể giữ lại một số thông tin về tài liệu chứng thực mà mã này đã xác minh.
- SDK ứng dụng App Check sẽ lưu mã thông báo vào bộ nhớ đệm trong ứng dụng, sẵn sàng để gửi đi cùng với mọi yêu cầu mà ứng dụng của bạn đưa ra đối với các dịch vụ được bảo vệ.
Dịch vụ được bảo vệ bởi App Check chỉ chấp nhận các yêu cầu đi kèm theo mã thông báo App Check hợp lệ hiện tại.
Khả năng bảo mật do App Check cung cấp mạnh đến mức nào?
App Check dựa vào độ mạnh của các nhà cung cấp dịch vụ chứng thực để xác định tính xác thực của ứng dụng hoặc thiết bị. Nó ngăn chặn một số, chứ không phải tất cả, vectơ lạm dụng hướng đến phần phụ trợ của bạn. Việc sử dụng App Check không đảm bảo loại bỏ được tất cả hành vi sai trái, nhưng bằng cách tích hợp với App Check, bạn đang thực hiện một bước quan trọng để bảo vệ tài nguyên phụ trợ của mình khỏi hành vi sai trái.
App Check có liên quan như thế nào với Firebase Authentication?
App Check và Firebase Authentication là các phần bổ sung để bảo mật ứng dụng câu chuyện của bạn. Firebase Authentication cung cấp tính năng xác thực người dùng để bảo vệ người dùng, trong khi App Check chứng thực tính xác thực của ứng dụng hoặc thiết bị, giúp bảo vệ nhà phát triển, cho bạn. App Check bảo vệ quyền truy cập vào các tài nguyên phụ trợ của Google và các phụ trợ tuỳ chỉnh bằng cách yêu cầu các lệnh gọi API chứa mã thông báo App Check hợp lệ. Hai khái niệm này phối hợp với nhau để giúp bảo mật ứng dụng của bạn.
Hạn mức và giới hạn
Việc bạn sử dụng App Check phải tuân theo hạn mức và giới hạn của nhà cung cấp chứng thực mà bạn sử dụng.
Quyền truy cập vào tính năng Kiểm tra thiết bị và Xác thực ứng dụng phải tuân theo mọi hạn mức hoặc giới hạn đã đặt của Apple.
API Tính toàn vẹn của Play có hạn mức hằng ngày là 10.000 lệnh gọi đối với cấp sử dụng API Chuẩn. Để biết thông tin về cách nâng cấp cấp sử dụng, hãy xem tài liệu về API Tính toàn vẹn của Play.
SafetyNet có hạn mức 10.000 lệnh gọi mỗi ngày. Để biết thông tin về cách yêu cầu hạn mức, hãy xem tài liệu về SafetyNet.
reCAPTCHA Enterprise miễn phí cho 10.000 bài đánh giá mỗi tháng và tính phí cho số lượng bài đánh giá vượt quá hạn mức đó. Xem giá của reCAPTCHA.
Bắt đầu
Bạn đã sẵn sàng bắt đầu?
Nền tảng Apple
DeviceCheck Chứng thực ứng dụng
Android
Web
Flutter
C++
Unity
Tìm hiểu cách triển khai trình cung cấp App Check tuỳ chỉnh
Tìm hiểu cách sử dụng App Check để bảo vệ các tài nguyên phụ trợ không phải của Google
Chọn nền tảng bạn sử dụng: