Implémenter Firebase App Check pour protéger l'API Gemini des clients non autorisés

Pour les applications mobiles et Web, vous devez protéger l'API Gemini et les ressources de votre projet (telles que les modèles réglés) contre les utilisations abusives par des clients non autorisés. Vous pouvez utiliser Firebase App Check pour vérifier que tous les appels d'API proviennent de votre application.

La protection contre les utilisations abusives de l'API Gemini avec App Check n'est disponible que si vous utilisez les SDK Vertex AI pour Firebase.


Avec App Check, les appareils exécutant votre application utilisent un fournisseur d'attestation d'application ou d'appareil qui valide au moins l'un des éléments suivants:

  • Les demandes proviennent de votre application authentique.
  • Les requêtes proviennent d'un appareil authentique non falsifié.

Cette attestation est associée à chaque requête envoyée par votre application à l'aide de l'API Vertex AI Gemini. Lorsque vous activez l'application d'App Check, les requêtes des clients sans attestation valide sont refusées, de même que toutes les requêtes provenant d'une application ou d'une plate-forme que vous n'avez pas autorisées.

Fournisseurs disponibles

App Check est compatible avec l'utilisation des services suivants en tant que fournisseurs d'attestation. Cliquez sur le lien d'un fournisseur pour afficher la documentation App Check le concernant, y compris les descriptions et les instructions d'implémentation.

Si ces fournisseurs ne répondent pas à vos besoins, vous pouvez également implémenter votre propre service utilisant un fournisseur d'attestation tiers ou vos propres techniques d'attestation (pour en savoir plus, consultez la documentation App Check).

Informations supplémentaires sur App Check

Comprendre comment App Check protège l'API Gemini

Pour utiliser les SDK Vertex AI pour Firebase, vous devez activer l'API firebaseml.googleapis.com dans votre projet Firebase. En effet, les requêtes effectuées par les SDK Vertex AI pour Firebase sont d'abord envoyées au serveur de ML Firebase, qui agit comme une passerelle proxy avec laquelle la vérification Firebase App Check a lieu avant que la requête soit autorisée à accéder au backend Vertex AI.

Notez que l'API Vertex AI Gemini (aiplatform.googleapis.com) n'effectue aucune validation App Check. À la place, les SDK Vertex AI pour Firebase acheminent automatiquement les requêtes de votre application via la passerelle Firebase ML.