如果您直接从移动应用或 Web 应用调用 API(例如,允许访问生成式 AI 模型的 API),则该 API 容易受到未经授权的客户端的滥用。为了帮助保护这些 API 免遭滥用,您可以使用 Firebase App Check 验证所有传入的 API 调用是否来自您的实际应用和未经篡改的设备。
Firebase AI Logic 提供了一个代理网关,可让您与 Firebase App Check 集成,并保护移动应用和 Web 应用调用的生成式 AI 模型 API。将 App Check 与 Firebase AI Logic SDK 搭配使用可支持我们的所有配置:
同时保护“Gemini API”提供方:Gemini Developer API 和 Vertex AI Gemini API。
保护所有受支持的模型,包括 Gemini 模型和 Imagen 模型。
App Check 还支持重放攻击防范,这意味着 App Check 令牌只能使用一次。
App Check 的运作方式的简要总结
使用 App Check 时,运行您的应用的设备将使用应用或设备证明提供方,用于验证以下两项或其中一项:
- 请求来自您的正版应用
- 请求来自真实的、未经篡改的设备
此证明会附加到您的应用使用 Firebase AI Logic SDK 发出的每个请求。启用 App Check 强制执行后,来自没有有效证明的客户端的请求将被拒绝,来自未经您授权的应用或平台的请求也将被拒绝。
设置 App Check 时,请考虑添加重放攻击防范,这会使 App Check 令牌只能使用一次。此选项可提供超出基准保护的增强保护,让您可以为应用和用例设置适当的保护级别。
您可以在 App Check 的文档中找到有关它的详细信息,包括其配额和限制。
设置 App Check
App Check 文档详细介绍了证明提供方以及详细的实现说明。
选择默认的证明提供方,然后按照以下链接中的实现说明操作:
- Apple 平台:DeviceCheck 或 App Attest
- Android: Play Integrity
- 网站:reCAPTCHA Enterprise
- Flutter:支持上述所有默认提供方
如果您使用的是旧版插件,请参阅下文中有关特殊实例化的注意事项,了解 Flutter 和 App Check。 - Unity:支持上述所有默认提供程序
请注意,如果默认证明提供程序都无法满足您的需求,您可以实现自定义提供程序,从而使用第三方证明提供程序或您自己的证明方法。
(必需)在将应用提交到公开提供的源代码控制系统、共享应用或公开发布应用之前,请先启用 App Check 强制执行。
通过添加重放保护来增强保护功能
|
我们建议您使用最新版本的 SDK,但请确保您至少使用以下版本之一,以便使用重放保护功能: Apple 平台 v12.2.0+ | Android BoM v34.14.0+ (App Check v19.1.0+) | Web v12.14.0+ | Flutter v4.15.0+ (App Check v4.10.0+) | Unity v13.12.0+ |
默认情况下,App Check 使用会话令牌,该令牌的存留时间 (TTL) 可配置,介于
不过,您可以通过强制执行重放攻击防范来增强保护,该功能会使用限次令牌。强制执行重放保护时,会发生以下情况:
App Check 将阻止使用会话令牌向 Firebase AI Logic 发出的请求。相反,App Check 仅当请求使用新生成的有限用途令牌时,才允许该请求访问 Firebase AI Logic。
验证有限用途令牌后,系统会消耗该令牌,使其只能使用一次,从而防止重放攻击。
App Check SDK 会为每项请求生成一个新的限时令牌。请注意,此过程可能会增加一些延迟时间,有时还会产生费用(具体取决于您的证明提供方),从而影响您的请求。
设置并强制执行重放保护
|
点击您的 Gemini API 提供商,以查看此页面上特定于提供商的内容和代码。 |
以下是设置和强制执行重放攻击防范的方法:
如果您尚未执行此操作,请实现 App Check 并为您的应用启用 App Check 强制执行。
启用限次令牌的使用。
在应用实例化期间,将
useLimitedUseAppCheckTokens参数设置为true:Swift
// ... // During instantiation, enable usage of limited-use tokens let ai = FirebaseAI.firebaseAI( backend: .googleAI(), useLimitedUseAppCheckTokens: true ) // ...Kotlin
// ... // During instantiation, enable usage of limited-use tokens val ai = Firebase.ai( backend = GenerativeBackend.googleAI(), useLimitedUseAppCheckTokens = true ) // ...Java
// ... // During instantiation, enable usage of limited-use tokens FirebaseAI ai = FirebaseAI.getInstance( /* backend: */ GenerativeBackend.googleAI(), /* useLimitedUseAppCheckTokens: */ true ); // ...Web
// ... // During instantiation, enable usage of limited-use tokens const ai = getAI(firebaseApp, { backend: new GoogleAIBackend(), useLimitedUseAppCheckTokens: true }); // ...Dart
// ... // During instantiation, enable usage of limited-use tokens final ai = await FirebaseAI.googleAI( useLimitedUseAppCheckTokens: true, ); // ...Unity
// ... // During instantiation, enable usage of limited-use tokens var ai = FirebaseAI.GetInstance( useLimitedUseAppCheckTokens: true ); // ...强制执行重放攻击防范。
在应用的代码库中,确保您已启用对限次使用令牌的使用(请参阅上一步)。
在 Firebase 控制台中,依次前往安全性 > App Check。
展开 Firebase AI Logic 的指标视图。
确保基准保护处于强制执行状态,然后点击继续。
对于重放保护,请选择不强制执行(仅监控)或强制执行。
请考虑以下因素,以决定何时强制执行重放攻击防范:
如果您的相当一部分用户可能在使用未启用受限用途令牌的旧版应用,建议您监控请求。如果您立即强制执行重放保护,系统会屏蔽这些用户的请求。
您可以专门监控未验证:重复使用的令牌指标,该指标是指包含的令牌已在之前的请求中使用过的请求数量。在 Firebase 控制台中监控此指标(依次前往安全性 > App Check > API 标签页)。
如果近期请求中有很大一部分属于此类别,您可以避免干扰用户,并考虑等待更多用户更新到使用限次令牌的应用版本之后,再强制执行重放保护。
了解 Firebase AI Logic 如何与 App Check 集成
如需使用 Firebase AI Logic SDK,必须在 Firebase 项目中启用 Firebase AI Logic API (firebasevertexai.googleapis.com)。这是因为 Firebase AI Logic SDK 发出的请求会先发送到 Firebase AI Logic 服务器,该服务器充当代理网关,Firebase App Check 验证会在请求获准继续发送到您选择的“Gemini API”提供商的后端以及用于访问 Gemini 和 Imagen 模型的 API 之前进行。