Kiểm tra ứng dụng Firebase

Kiểm tra ứng dụng giúp bảo vệ các tài nguyên phụ trợ của bạn khỏi bị lạm dụng, chẳng hạn như gian lận thanh toán và lừa đảo. Nó hoạt động với cả các dịch vụ Firebase và phần phụ trợ của riêng bạn để giữ an toàn cho tài nguyên của bạn.

Với Kiểm tra ứng dụng, các thiết bị chạy ứng dụng của bạn sẽ sử dụng ứng dụng hoặc nhà cung cấp chứng thực thiết bị chứng thực một hoặc cả hai điều sau:

  • Yêu cầu bắt nguồn từ ứng dụng xác thực của bạn
  • Yêu cầu bắt nguồn từ một thiết bị xác thực, chưa được kiểm tra

Chứng thực này được đính kèm với mọi yêu cầu mà ứng dụng của bạn đưa ra đối với tài nguyên phụ trợ Firebase của bạn.

Kiểm tra ứng dụng có hỗ trợ tích hợp để sử dụng các dịch vụ sau với tư cách là nhà cung cấp chứng thực:

Nếu những điều này không đủ cho nhu cầu của bạn, bạn cũng có thể triển khai dịch vụ của riêng mình bằng cách sử dụng nhà cung cấp chứng thực bên thứ ba hoặc các kỹ thuật chứng thực của riêng bạn.

Kiểm tra ứng dụng hiện hoạt động với các sản phẩm Firebase sau:

Các sản phẩm Firebase được hỗ trợ
Cơ sở dữ liệu thời gian thực
Cloud Firestore
Lưu trữ đám mây
Chức năng đám mây (chức năng có thể gọi)

Bạn cũng có thể sử dụng Kiểm tra ứng dụng để bảo vệ các tài nguyên phụ trợ không phải Firebase của mình.

Sẵn sàng để bắt đầu?

Bắt đầu

Làm thế nào nó hoạt động?

Khi bạn bật Kiểm tra ứng dụng cho một dịch vụ và bao gồm SDK ứng dụng khách trong ứng dụng của mình, những điều sau đây sẽ xảy ra theo định kỳ:

  1. Ứng dụng của bạn tương tác với nhà cung cấp mà bạn chọn để có được chứng thực về tính xác thực của ứng dụng hoặc thiết bị (hoặc cả hai, tùy thuộc vào nhà cung cấp).
  2. Chứng thực được gửi đến máy chủ Kiểm tra ứng dụng, máy chủ này sẽ xác minh tính hợp lệ của chứng thực bằng cách sử dụng các thông số đã đăng ký với ứng dụng và trả về ứng dụng của bạn mã thông báo Kiểm tra ứng dụng với thời gian hết hạn. Mã thông báo này có thể giữ lại một số thông tin về tài liệu chứng thực mà nó đã xác minh.
  3. SDK ứng dụng Kiểm tra ứng dụng lưu vào bộ nhớ cache mã thông báo trong ứng dụng của bạn, sẵn sàng được gửi cùng với bất kỳ yêu cầu nào mà ứng dụng của bạn đưa ra đối với các dịch vụ được bảo vệ.

Dịch vụ được bảo vệ bởi Kiểm tra ứng dụng chỉ chấp nhận các yêu cầu kèm theo mã thông báo Kiểm tra ứng dụng hợp lệ, hiện tại.

Mức độ bảo mật được cung cấp bởi App Check?

Kiểm tra ứng dụng dựa vào sức mạnh của các nhà cung cấp chứng thực để xác định tính xác thực của ứng dụng hoặc thiết bị. Nó ngăn chặn một số, nhưng không phải tất cả, các vectơ lạm dụng hướng đến các phụ trợ của bạn. Sử dụng Kiểm tra ứng dụng không đảm bảo loại bỏ tất cả các hành vi lạm dụng, nhưng bằng cách tích hợp với Kiểm tra ứng dụng, bạn đang thực hiện một bước quan trọng để bảo vệ chống lạm dụng cho các tài nguyên phụ trợ của mình.

Kiểm tra ứng dụng và Xác thực Firebase là các phần bổ sung trong câu chuyện bảo mật ứng dụng của bạn. Xác thực Firebase cung cấp xác thực người dùng để bảo vệ người dùng của bạn, trong khi Kiểm tra ứng dụng cung cấp chứng nhận tính xác thực của ứng dụng hoặc thiết bị, bảo vệ bạn, nhà phát triển. Kiểm tra ứng dụng bảo vệ quyền truy cập vào tài nguyên Firebase và phần phụ trợ tùy chỉnh của bạn bằng cách yêu cầu lệnh gọi API phải chứa mã thông báo Kiểm tra ứng dụng Firebase hợp lệ. Hai khái niệm này phối hợp với nhau để giúp bảo mật ứng dụng của bạn.

Hạn ngạch & giới hạn

Việc sử dụng Kiểm tra ứng dụng của bạn phải tuân theo hạn ngạch và giới hạn của các nhà cung cấp chứng thực mà bạn sử dụng.

  • Quyền truy cập DeviceCheck và App Attest phải tuân theo mọi hạn ngạch hoặc giới hạn do Apple đặt ra.

  • Play Integrity có hạn ngạch hàng ngày là 10.000 cuộc gọi cho cấp sử dụng API tiêu chuẩn của nó. Để biết thông tin về cách nâng cấp sử dụng của bạn, hãy xem tài liệu về Tính toàn vẹn của Play .

  • SafetyNet có hạn ngạch 10.000 cuộc gọi hàng ngày. Để biết thông tin về cách yêu cầu tăng hạn ngạch, hãy xem tài liệu SafetyNet .

  • reCAPTCHA v3 có hạn ngạch hàng tháng là 1 triệu cuộc gọi, cũng như giới hạn 1.000 QPS. Để biết thông tin về cách yêu cầu tăng hạn ngạch, hãy xem tài liệu reCAPTCHA .

  • reCAPTCHA Enterprise không tính phí cho 1 triệu cuộc gọi mỗi tháng và với chi phí cao hơn thế. Xem reCAPTCHA Định giá doanh nghiệp .

Bắt đầu

Sẵn sàng để bắt đầu?

Nền tảng của Apple

Chứng thực ứng dụng DeviceCheck

Android

Chơi mạng an toàn toàn vẹn

Web

reCAPTCHA v3 reCAPTCHA Enterprise

Chớp cánh

Các nhà cung cấp mặc định

Tìm hiểu cách triển khai nhà cung cấp Kiểm tra ứng dụng tùy chỉnh:

Nhà cung cấp tùy chỉnh

Tìm hiểu cách sử dụng Kiểm tra ứng dụng để bảo vệ các tài nguyên phụ trợ không phải Firebase của bạn:

iOS + Android Web Flutter