Firebase 應用檢查

App Check 與其他 Firebase 服務協同工作,幫助保護您的後端資源免遭濫用,例如賬單欺詐或網絡釣魚。借助 App Check,運行您的應用的設備將使用能夠證明以下一項或兩項的應用或設備證明提供程序:

  • 請求來自您的真實應用
  • 請求來自真實的、未被篡改的設備

此證明會附加到您的應用向 Firebase 後端資源發出的每個請求中。

App Check 內置支持使用以下服務作為證明提供者:

如果這些不足以滿足您的需求,您還可以使用第三方證明提供商或您自己的證明技術來實現自己的服務。

App Check 目前適用於以下 Firebase 產品:

  • 實時數據庫
  • 雲儲存
  • 雲函數(可調用函數)

開始使用DeviceCheck在iOS上開始使用應用程序的Attest在iOS

開始使用 Android

開始使用網絡應用程序

您還可以使用 App Check 來保護您的非 Firebase 後端資源:

iOS版的Android網站

它是如何工作的?

當您為服務啟用 App Check 並在您的應用程序中包含客戶端 SDK 時,會定期發生以下情況:

  1. 您的應用與您選擇的提供商進行交互,以獲得應用或設備真實性(或兩者,取決於提供商)的證明。
  2. 證明被發送到 App Check 服務器,它使用在應用中註冊的參數來驗證證明的有效性,並向您的應用返回一個帶有過期時間的 App Check 令牌。此令牌可能會保留有關其驗證的證明材料的一些信息。
  3. App Check 客戶端 SDK 將令牌緩存在您的應用程序中,隨時可以與您的應用程序向受保護服務發出的任何請求一起發送。

受 App Check 保護的服務僅接受帶有當前有效 App Check 令牌的請求。

App Check 提供的安全性有多強?

App Check 依靠其認證提供商的實力來確定應用或設備的真實性。它可以防止一些(但不是全部)針對您的後端的濫用媒介。使用 App Check 並不能保證消除所有濫用,但通過與 App Check 集成,您正在朝著後端資源濫用保護邁出重要一步。

App Check 和 Firebase 身份驗證是您的應用安全故事的補充部分。 Firebase 身份驗證提供用戶身份驗證,以保護您的用戶,而 App Check 提供應用或設備真實性證明,以保護您,即開發者。 App Check 通過要求 API 調用包含有效的 Firebase App Check 令牌來保護對 Firebase 資源的訪問。這兩個概念協同工作以幫助保護您的應用程序。

配額和限制

您對 App Check 的使用受您使用的認證提供商的配額和限制的約束。

  • DeviceCheck 訪問受 Apple 設置的任何配額或限制的約束。

  • SafetyNet 的每日配額為 10,000 次調用。有關申請增加配額的信息,請參閱安全網文檔

  • reCAPTCHA v3 的每月配額為 100 萬次調用,以及 1,000 QPS 的限制。有關申請增加配額的信息,請參閱驗證碼文檔

開始

準備好開始了嗎?

開始使用DeviceCheck在iOS上開始使用應用程序的Attest在iOS

開始使用 Android

開始使用網絡應用程序

開始使用自定義提供程序