Firebase App Check
App Check ช่วยปกป้องแบ็กเอนด์ของแอปจากการละเมิดโดยการป้องกัน ไคลเอ็นต์ที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงทรัพยากรแบ็กเอนด์ของคุณ ใช้ได้กับ ทั้งบริการของ Google (รวมถึงบริการ Firebase และ Google Cloud) แบ็กเอนด์ของตัวเองเพื่อให้ทรัพยากรของคุณปลอดภัย
เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปของคุณจะใช้แอปหรืออุปกรณ์ ผู้ให้บริการเอกสารรับรองที่ยืนยันข้อใดข้อหนึ่งหรือทั้ง 2 ข้อต่อไปนี้
- คำขอมาจากแอปของคุณเอง
- คำขอมาจากอุปกรณ์ที่ถูกต้องและไม่ได้ดัดแปลง
เอกสารรับรองนี้แนบอยู่กับทุกคำขอที่แอปของคุณสร้างขึ้นกับ API ที่คุณ ระบุ เมื่อเปิดใช้การบังคับใช้ App Check คำขอจาก ลูกค้าที่ไม่มีเอกสารรับรองที่ถูกต้องจะถูกปฏิเสธ เช่นเดียวกับคำขอ ที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้อนุญาต
App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้ ผู้ให้บริการเอกสารรับรอง
- การตรวจสอบอุปกรณ์ หรือ เอกสารรับรองแอป บนแพลตฟอร์ม Apple
- Play Integrity หรือ SafetyNet (เลิกใช้งานแล้ว) ใน Android
- reCAPTCHA Enterprise บนเว็บแอป
หากสิ่งเหล่านี้ไม่เพียงพอสำหรับความต้องการของคุณ คุณสามารถใช้ บริการที่ใช้ผู้ให้บริการเอกสารรับรองบุคคลที่สามหรือของคุณเอง ของการรับรอง
App Check ทำงานร่วมกับบริการของ Google ดังต่อไปนี้
| บริการของ Google ที่รองรับ |
|---|
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (ฟังก์ชันที่เรียกใช้ได้) |
| Authentication (เบต้า ต้องอัปเกรดเป็น Firebase Authentication with Identity Platform) |
| Google Identity สำหรับ iOS (เบต้า) |
| Vertex AI in Firebase (เวอร์ชันตัวอย่าง) |
คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google ได้ด้วย
วิธีการทำงาน
เมื่อคุณเปิดใช้ App Check สำหรับบริการและรวม SDK ของไคลเอ็นต์ กับแอปของคุณ สิ่งต่อไปนี้จะเกิดขึ้นเป็นระยะๆ
- แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อขอรับเอกสารรับรอง ความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้ง 2 อย่าง ขึ้นอยู่กับผู้ให้บริการ)
- ระบบจะส่งเอกสารรับรองไปยังเซิร์ฟเวอร์ App Check ซึ่งจะยืนยัน ความถูกต้องของเอกสารรับรองโดยใช้พารามิเตอร์ที่บันทึกไว้กับแอป และ จะแสดงโทเค็น App Check พร้อมเวลาหมดอายุที่แอปของคุณ ช่วงเวลานี้ แต่โทเค็นอาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรอง ยืนยันแล้ว
- SDK ของไคลเอ็นต์ App Check จะแคชโทเค็นในแอปของคุณและพร้อมที่จะส่ง พร้อมกับคำขอที่แอปส่งไปยังบริการที่มีการคุ้มครอง
บริการที่ได้รับการคุ้มครองโดย App Check จะยอมรับคำขอที่ทำงานควบคู่ไปด้วยเท่านั้น ตามโทเค็น App Check ที่ถูกต้องในปัจจุบัน
App Check มีการรักษาความปลอดภัยที่เข้มงวดเพียงใด
App Check อาศัยความรัดกุมของผู้ให้บริการเอกสารรับรองเพื่อพิจารณา ความถูกต้องของแอปหรืออุปกรณ์ ช่วยป้องกันเวกเตอร์การละเมิดบางรายการ ไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่า การขจัดการละเมิดทั้งหมด แต่เมื่อผสานรวมกับ App Check ขั้นตอนสำคัญในการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์
App Check เกี่ยวข้องกับ Firebase Authentication อย่างไร
App Check และ Firebase Authentication เป็นส่วนส่งเสริมการรักษาความปลอดภัยของแอป เรื่องราวของคุณ Firebase Authentication มีการตรวจสอบสิทธิ์ผู้ใช้ ซึ่งช่วยปกป้อง แต่ App Check จะให้เอกสารรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งเป็นการปกป้องคุณ ซึ่งเป็นนักพัฒนาซอฟต์แวร์ App Check ป้องกันการเข้าถึง Google ของคุณ ทรัพยากรแบ็กเอนด์และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API มี App Check โทเค็น แนวคิดทั้งสองนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอปของคุณ
โควต้าและขีดจำกัด
การใช้ App Check ขึ้นอยู่กับโควต้าและขีดจำกัดของเอกสารรับรอง ของผู้ให้บริการที่คุณใช้
การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดใดๆ ที่ตั้งไว้ ของ Apple
Play Integrity มีโควต้าการเรียกใช้รายวัน 10,000 ครั้งสำหรับการใช้งาน API มาตรฐาน สำหรับข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งาน โปรดดูที่ ดูเอกสารประกอบของ Play Integrity
SafetyNet มีโควต้าการเรียก 10,000 ครั้งต่อวัน สำหรับข้อมูลเกี่ยวกับการส่งคำขอ การเพิ่มโควต้า โปรดดูเอกสาร SafetyNet
reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการประเมิน 10,000 ครั้งในแต่ละเดือนและ ค่าใช้จ่ายที่นอกเหนือไปจากนั้น ดูการกำหนดราคา reCAPTCHA
เริ่มต้นใช้งาน
หากพร้อมที่จะเริ่มแล้ว
แพลตฟอร์ม Apple
การตรวจสอบอุปกรณ์ เอกสารรับรองแอป
Android
เว็บ
Flutter
C++
Unity
ดูวิธีใช้ผู้ให้บริการ App Check ที่กำหนดเอง
ดูวิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google
เลือกแพลตฟอร์มของคุณ: