Firebase App Check
App Check ช่วยปกป้องทรัพยากร API จากการละเมิดโดยการป้องกันไม่ให้ไคลเอ็นต์ที่ไม่ได้รับอนุญาตเข้าถึงทรัพยากรแบ็กเอนด์ โดยทำงานร่วมกับทั้งบริการของ Google (รวมถึง Firebase และ Google Cloud) และ API ของคุณเองเพื่อรักษาทรัพยากรของคุณให้ปลอดภัย
เมื่อใช้ App Check อุปกรณ์ที่เรียกใช้แอปจะใช้แอปหรือผู้ให้บริการเอกสารรับรองอุปกรณ์ที่ยืนยันข้อใดข้อหนึ่งหรือทั้ง 2 ข้อต่อไปนี้
- คำขอมาจากแอปของคุณเอง
- คำขอมาจากอุปกรณ์ที่ถูกต้องและไม่ได้ดัดแปลง
เอกสารรับรองนี้แนบอยู่กับคำขอทุกรายการที่แอปดำเนินการกับ API ที่คุณระบุ เมื่อเปิดใช้การบังคับใช้ App Check แล้ว ระบบจะปฏิเสธคำขอจากไคลเอ็นต์ที่ไม่มีเอกสารรับรองที่ถูกต้อง เช่นเดียวกับคำขอที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้ให้สิทธิ์
App Check มีการรองรับในตัวสำหรับการใช้บริการต่อไปนี้เป็นผู้ให้บริการเอกสารรับรอง
- DeviceCheck หรือ App Attest บนแพลตฟอร์ม Apple
- Play Integrity หรือ SafetyNet (เลิกใช้งานแล้ว) ใน Android
- reCAPTCHA Enterprise ในเว็บแอป
หากข้อมูลเหล่านี้ไม่เพียงพอต่อความต้องการ คุณยังใช้บริการของตนเองที่ใช้ผู้ให้บริการเอกสารรับรองที่เป็นบุคคลที่สามหรือเทคนิคเอกสารรับรองของคุณเองได้ด้วย
App Check สามารถทำงานร่วมกับบริการของ Google ดังต่อไปนี้
| บริการของ Google ที่รองรับ |
|---|
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (ฟังก์ชันที่เรียกใช้ได้) |
| การตรวจสอบสิทธิ์ (เบต้า ต้องอัปเกรดเป็นการตรวจสอบสิทธิ์ Firebase ด้วย Identity Platform) |
| Google Identity สำหรับ iOS (เบต้า) |
| Vertex AI สำหรับ Firebase (เวอร์ชันตัวอย่าง) |
คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google ได้ด้วย
หากพร้อมที่จะเริ่มแล้ว
ทำงานอย่างไร
เมื่อเปิดใช้ App Check กับบริการและรวม SDK ของไคลเอ็นต์ในแอป สิ่งต่อไปนี้จะเกิดขึ้นเป็นระยะๆ
- แอปของคุณจะโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อขอรับเอกสารรับรองความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้ง 2 อย่าง ขึ้นอยู่กับผู้ให้บริการ)
- ระบบจะส่งเอกสารรับรองไปยังเซิร์ฟเวอร์ App Check ซึ่งจะยืนยันความถูกต้องของเอกสารรับรองโดยใช้พารามิเตอร์ที่ลงทะเบียนไว้กับแอป จากนั้นจึงแสดงโทเค็น App Check ที่มีเวลาหมดอายุกลับไปยังแอปของคุณ โทเค็นนี้อาจเก็บข้อมูลบางอย่างเกี่ยวกับเนื้อหาเอกสารรับรองที่ได้รับการยืนยัน
- SDK ของไคลเอ็นต์ App Check จะแคชโทเค็นในแอปของคุณ ซึ่งพร้อมที่จะส่งไปพร้อมกับคำขอที่แอปส่งไปยังบริการที่มีการป้องกัน
บริการที่ปกป้องโดย App Check จะยอมรับคำขอที่มาพร้อมกับโทเค็น App Check ที่ถูกต้องในปัจจุบันเท่านั้น
App Check มีการรักษาความปลอดภัยที่เข้มงวดเพียงใด
App Check อาศัยความเข้มงวดของผู้ให้บริการเอกสารรับรองเพื่อระบุความถูกต้องของแอปหรืออุปกรณ์ ซึ่งจะป้องกันเวกเตอร์การละเมิดบางประเภทที่มุ่งไปยังแบ็กเอนด์ของคุณ แต่ไม่ใช่ทั้งหมด การใช้ App Check ไม่ได้รับประกันว่าจะกำจัดการละเมิดทั้งหมดได้ แต่การผสานรวมกับ App Check หมายความว่าจะเป็นขั้นตอนสำคัญในการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์
App Check เกี่ยวข้องกับการตรวจสอบสิทธิ์ Firebase อย่างไร
App Check และการตรวจสอบสิทธิ์ Firebase เป็นส่วนเติมเต็มกันและกันของเรื่องราวความปลอดภัยของแอป การตรวจสอบสิทธิ์ Firebase มีการตรวจสอบสิทธิ์ผู้ใช้ ซึ่งจะปกป้องผู้ใช้ของคุณ ส่วน App Check จะให้เอกสารรับรองของความถูกต้องของแอปหรืออุปกรณ์ ซึ่งจะปกป้องคุณซึ่งเป็นนักพัฒนาแอป App Check จะป้องกันการเข้าถึงทรัพยากรแบ็กเอนด์ของ Google และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API ต้องมีโทเค็น App Check ที่ถูกต้อง แนวคิดทั้งสองนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอปของคุณ
โควต้าและขีดจำกัด
การใช้งาน App Check ขึ้นอยู่กับโควต้าและขีดจำกัดของผู้ให้บริการเอกสารรับรองที่คุณใช้
การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดที่ Apple กำหนดไว้
Play Integrity มีโควต้าการเรียกใช้รายวัน 10,000 ครั้งสำหรับระดับการใช้งาน API มาตรฐาน ดูข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งานได้ในเอกสารประกอบของ Play Integrity
SafetyNet มีโควต้าการเรียก 10,000 ครั้งต่อวัน สำหรับข้อมูลเกี่ยวกับการขอเพิ่มโควต้า โปรดดูเอกสาร SafetyNet
reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการโทร 1 ล้านครั้งต่อเดือน และไม่มีค่าใช้จ่ายเพิ่มเติม โปรดดูราคาของ reCAPTCHA Enterprise
เริ่มต้นใช้งาน
หากพร้อมที่จะเริ่มแล้ว
แพลตฟอร์ม Apple
Android
เว็บไซต์
Flutter
C++
Unity
ดูวิธีใช้ผู้ให้บริการ App Check ที่กำหนดเอง
ดูวิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google