Firebase App Check
App Check pomaga chronić backendy aplikacji przed nadużyciami, zapobiegając naruszeniom nieupoważnione klienty nie uzyskują dostępu do zasobów backendu. Działa z usługi Google (w tym Firebase i Google Cloud) oraz dzięki własnemu backendowi, który dba o bezpieczeństwo zasobów.
Dzięki App Check urządzenia z uruchomioną aplikacją będą korzystać z aplikacji lub urządzenia dostawcy atestów, który potwierdza co najmniej jeden z tych warunków:
- Żądania pochodzą z autentycznej aplikacji
- Żądania pochodzą z autentycznego, nieuszkodzonego urządzenia
Ten atest jest dołączony do każdego żądania wysyłanego przez aplikację do interfejsów API określić. Gdy włączysz egzekwowanie zasad App Check, żądania z usług klienci bez ważnego atestu będą odrzucane, podobnie jak wszystkie pochodzące z aplikacji lub platformy, która nie została przez Ciebie autoryzowana.
Usługa App Check ma wbudowaną obsługę następujących usług jako: dostawcy atestów:
- Sprawdzanie urządzenia lub App Attest na platformach Apple
- Play Integrity lub SafetyNet (wycofane) na Androidzie
- reCAPTCHA Enterprise, w aplikacjach internetowych.
Jeśli nie odpowiadają one Twoim potrzebom, możesz wdrożyć własne usługa korzystająca z zewnętrznego dostawcy atestów lub z Twojego własnej atestacji.
Aplikacja App Check działa z tymi usługami Google:
| Obsługiwane usługi Google |
|---|
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (funkcje wywoływane) |
| Authentication (beta; wymaga uaktualnienia do wersji Firebase Authentication with Identity Platform) |
| Tożsamość Google w systemie iOS (beta) |
| Vertex AI in Firebase (podgląd) |
Możesz też używać App Check do ochrony zasobów backendu spoza Google.
Jak to działa?
Gdy włączysz App Check w usłudze i dołączysz pakiet SDK klienta co jakiś czas:
- Aplikacja wchodzi w interakcje z wybranym dostawcą w celu uzyskania atestu autentyczności aplikacji lub urządzenia (albo i obydwa, w zależności od dostawcy).
- Atest jest wysyłany do serwera App Check, który weryfikuje ważność atestu za pomocą parametrów zarejestrowanych w aplikacji; zwraca do aplikacji token App Check z datą ważności. Ten token może przechowywać pewne informacje o materiale atestu zweryfikowane.
- Pakiet SDK klienta App Check zapisuje w pamięci podręcznej token w aplikacji gotowy do wysłania wraz ze wszystkimi żądaniami, które Twoja aplikacja wysyła do chronionych usług.
Usługa chroniona przez domenę App Check akceptuje tylko towarzyszące prośby za pomocą aktualnego, prawidłowego tokena App Check.
Jak silne są zabezpieczenia zapewniane przez firmę App Check?
Przy określaniu atestów App Check korzysta z wiarygodnych źródeł informacji autentyczności aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim wektorom nadużyć kierowane do backendów. Zastosowanie App Check nie gwarantuje wyeliminowanie wszystkich nadużyć, ale integracja z App Check to ważny krok w kierunku ochrony przed nadużyciami w zasobach backendu.
Jaki jest związek między App Check i Firebase Authentication?
App Check i Firebase Authentication to uzupełniające się zabezpieczenia aplikacji historię. Firebase Authentication umożliwia uwierzytelnianie użytkowników, użytkowników, natomiast App Check potwierdza autentyczność aplikacji lub urządzenia, które chroni dewelopera. Aplikacja App Check chroni dostęp do Twojego konta Google zasobów backendu i niestandardowych backendów, wymagając, by wywołania interfejsu API zawierały prawidłowy Token App Check. Te 2 elementy współdziałają, aby zwiększyć bezpieczeństwo Twojej aplikacji.
Limity
Korzystanie z usługi App Check podlega limitom określonym w atestie z których usług korzystasz.
Dostęp do DeviceCheck i App Attest podlega określonym limitom i ograniczeniom firmy Apple.
Play Integrity API ma limit 10 tys. wywołań dziennie standardowego interfejsu API . Informacje o podwyższaniu poziomu wykorzystania znajdziesz w Dokumentacja Play Integrity
SafetyNet ma dzienny limit 10 000 wywołań. Informacje na temat składania wniosków o Więcej informacji znajdziesz w dokumentacji SafetyNet.
reCAPTCHA Enterprise to bezpłatna usługa umożliwiająca przeprowadzenie 10 tys. testów miesięcznie oraz i kosztują więcej. Zobacz cennik reCAPTCHA.
Rozpocznij
Chcesz rozpocząć?
Platformy Apple
Sprawdzanie urządzenia App Attest
Android
Sieć
Flutter
C
Unity
Dowiedz się, jak wdrożyć dostawcę niestandardowego App Check
Dowiedz się, jak używać App Check do ochrony zasobów backendu spoza Google
Wybierz platformę:
iOS lub nowszy Android Sieć Efekt fluktuacji