Firebase App Check
App Check ti aiuta a proteggere i backend delle tue app da comportamenti illeciti impedendo ai client non autorizzati di accedere alle risorse di backend. Funziona sia con i servizi Google (inclusi i servizi Firebase e Google Cloud) sia con i tuoi backend personalizzati per proteggere le tue risorse.
Con App Check, i dispositivi su cui è in esecuzione la tua app utilizzeranno un fornitore di attestazioni di app o dispositivi che attesta uno o entrambi i seguenti aspetti:
- Le richieste provengono dalla tua app autentica
- Le richieste provengono da un dispositivo autentico e non manomesso
Questa attestazione viene allegata a ogni richiesta inviata dall'app alle API specificate. Quando attivi l'applicazione di App Check, le richieste provenienti da client senza un'attestazione valida verranno rifiutate, così come qualsiasi richiesta proveniente da un'app o una piattaforma che non hai autorizzato.
App Check supporta l'utilizzo dei seguenti servizi come fornitori di attestazioni:
- DeviceCheck o App Attest sulle piattaforme Apple
- Play Integrity su Android
- reCAPTCHA Enterprise nelle app web.
Se questi non sono sufficienti per le tue esigenze, puoi anche implementare il tuo servizio che utilizza un fornitore di attestazioni di terze parti o le tue tecniche di attestazione.
App Check funziona con i seguenti servizi Google:
| Servizi Firebase e Google Cloud supportati |
|---|
| Firebase Authentication (beta; richiede l'upgrade a Firebase Authentication with Identity Platform) |
| Firebase Data Connect (anteprima) |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (solo funzioni richiamabili) |
| Vertex AI in Firebase |
| Servizi Google Maps Platform supportati |
| API Maps JavaScript (anteprima) |
| API Places (nuova) (anteprima) |
| Altri servizi Google supportati |
| Google Identity per iOS |
Puoi anche utilizzare App Check per proteggere le risorse di backend personalizzate non Google, come il tuo backend auto-in hosting.
Come funziona?
Quando attivi App Check per un servizio e includi l'SDK client nella tua app, periodicamente si verifica quanto segue:
- L'app interagisce con il fornitore scelto per ottenere un'attestazione dell'autenticità dell'app o del dispositivo (o di entrambi, a seconda del fornitore).
- L'attestazione viene inviata al server App Check, che verifica la sua validità utilizzando i parametri registrati con l'app e restituisce alla tua app un token App Check con una data di scadenza. Questo token potrebbe conservare alcune informazioni sul materiale di attestazione che ha verificato.
- L'SDK client App Check memorizza nella cache il token nella tua app, pronto per essere inviato insieme a eventuali richieste inviate dall'app ai servizi protetti.
Un servizio protetto da App Check accetta solo richieste accompagnate da un token App Check corrente e valido.
Quanto è elevata la sicurezza fornita da App Check?
App Check si basa sulla solidità dei propri fornitori di attestazioni per determinare l'autenticità dell'app o del dispositivo. Impedisce alcuni, ma non tutti, vettori di attività illecite rivolti ai tuoi backend. L'utilizzo di App Check non garantisce l'eliminazione di tutti gli abusi, ma l'integrazione con App Check rappresenta un passo importante verso la protezione dagli abusi per le risorse di backend.
Che relazione c'è tra App Check e Firebase Authentication?
App Check e Firebase Authentication sono parti complementari della storia della sicurezza della tua app. Firebase Authentication fornisce l'autenticazione utente, che protegge gli utenti, mentre App Check fornisce l'attestazione dell'autenticità dell'app o del dispositivo, che protegge te, lo sviluppatore. App Check protegge l'accesso alle risorse di backend di Google e ai backend personalizzati richiedendo che le chiamate API contengano un token App Check valido. Questi due concetti collaborano per proteggere la tua app.
Quote e limiti
L'utilizzo di App Check è soggetto alle quote e ai limiti dei fornitori di attestazioni che utilizzi.
L'accesso a DeviceCheck e App Attest è soggetto a eventuali quote o limitazioni impostate da Apple.
Play Integrity ha una quota giornaliera di 10.000 chiamate per il suo livello di utilizzo dell'API Standard. Per informazioni su come aumentare il livello di utilizzo, consulta la documentazione di Play Integrity.
SafetyNet ha una quota giornaliera di 10.000 chiamate. Per informazioni su come richiedere un aumento della quota, consulta la documentazione di SafetyNet.
reCAPTCHA Enterprise è senza costi per 10.000 valutazioni al mese e ha un costo per un numero superiore di valutazioni. Consulta i prezzi di reCAPTCHA.
Inizia
Iniziamo?
Piattaforme Apple
Android
Web
Flutter
Unity
C++
Scopri come implementare un fornitore App Check personalizzato
Scopri come utilizzare App Check per proteggere le risorse di backend personalizzate
Seleziona la tua piattaforma:
iOS+ Android Web Flutter Unity C++