Firebase App Check
O App Check ajuda a proteger os back-ends do app contra abusos, impedindo que clientes não autorizados acessem seus recursos de back-end. Funciona com os Serviços do Google (incluindo Firebase e Google Cloud) e back-ends próprios para manter seus recursos seguros.
Com o App Check, os dispositivos que executam seu app usarão um app ou provedor de atestado de dispositivos que atesta um dos itens a seguir (ou ambos):
- As solicitações vêm do seu app autêntico
- As solicitações vêm de um dispositivo autêntico que não foi comprometido
Esse atestado é anexado a todas as solicitações que o app faz às APIs especificadas. Quando você ativa o App Check, as solicitações de clientes sem um atestado válido são recusadas, assim como qualquer solicitação originada de um app ou plataforma que você não autorizou.
O App Check tem suporte integrado para usar os seguintes serviços como provedores de atestado:
- DeviceCheck ou App Attest em plataformas da Apple
- Play Integrity no Android
- reCAPTCHA Enterprise em apps da Web
Se eles são insuficientes para as suas necessidades, você também pode implementar seu próprio serviço que usa um provedor de atestado terceirizado ou suas próprias técnicas de atestado.
O App Check funciona com os seguintes Serviços do Google:
Serviços do Firebase e do Google Cloud compatíveis |
---|
Data Connect (Visualização prévia) |
Vertex AI in Firebase |
Realtime Database |
Cloud Firestore |
Cloud Storage |
Cloud Functions (funções chamáveis) |
Authentication (Beta, requer upgrade para Firebase Authentication with Identity Platform) |
Serviços da Plataforma Google Maps com suporte |
API Maps JavaScript (pré-lançamento) |
API Places (nova) (pré-lançamento) |
Outros serviços do Google com suporte |
Identidade do Google para iOS |
Você também pode usar App Check para proteger recursos de back-end que não são do Google.
Como funciona?
Quando você ativa o App Check em um serviço e inclui o SDK do cliente no seu app, as seguintes ações acontecem periodicamente:
- O app interage com o provedor escolhido para receber um atestado da autenticidade do app ou do dispositivo (ou ambos, dependendo do provedor).
- O atestado é enviado ao servidor App Check, que verifica a validade dele usando parâmetros registrados com o app e retorna ao app um token App Check com prazo de validade. Esse token pode reter algumas informações sobre o material de atestado verificado.
- O SDK do cliente do App Check armazena o token no seu app, pronto para ser enviado junto com todas as solicitações que o app faz para serviços protegidos.
Um serviço protegido por App Check só aceita solicitações acompanhadas de um token App Check atual e válido.
Qual é o nível de segurança da App Check?
O App Check depende da capacidade dos provedores de atestado para determinar a autenticidade do app ou do dispositivo. Ele impede que alguns vetores de abuso sejam direcionados para seus back-ends, mas não todos. O uso de App Check não garante a eliminação de todo abuso, mas, ao integrar com App Check, você está tomando uma medida importante para a proteção do abuso para seus recursos de back-end.
Como App Check está relacionado a Firebase Authentication?
O App Check e o Firebase Authentication são partes complementares da história de segurança do seu app. O Firebase Authentication oferece autenticação de usuários, protegendo-os. Já o App Check oferece atestados de autenticidade do app ou do dispositivo, o que protege você, o desenvolvedor. O App Check protege o acesso aos recursos do back-end do Google e a back-ends personalizados, exigindo que as chamadas de API contenham um token App Check válido. Esses dois conceitos funcionam juntos para ajudar a proteger seu app.
Cotas e limites
O uso de App Check está sujeito às cotas e aos limites dos provedores de atestado que você usa.
O acesso do DeviceCheck e do App Attest está sujeito às cotas ou limitações definidas pela Apple.
A API Play Integrity tem uma cota diária de 10.000 chamadas para o nível de uso da API padrão. Para ver informações sobre como aumentar seu nível de uso, consulte a documentação da API Play Integrity.
A SafetyNet tem uma cota diária de dez mil chamadas. Para mais informações sobre como solicitar um aumento de cota, consulte a documentação da SafetyNet.
O reCAPTCHA Enterprise não tem custo financeiro para 10 mil avaliações por mês e tem uma além desse custo. Consulte os preços do reCAPTCHA.
Começar
Tudo pronto para começar?
Plataformas da Apple
Android
Web
Flutter
C++
Unity
Saiba como implementar um provedor App Check personalizado
Saiba como usar o App Check para proteger seus recursos de back-end que não são do Google
Selecione sua plataforma: