Firebase Uygulama Kontrolü
Uygulama Kontrolü, yetkisiz istemcilerin arka uç kaynaklarınıza erişmesini engelleyerek API kaynaklarınızı kötüye kullanıma karşı korumaya yardımcı olur. Kaynaklarınızı güvende tutmak için hem Google hizmetleriyle (Firebase ve Google Cloud hizmetleri dahil) hem de kendi API'lerinizle birlikte çalışır.
Uygulama Kontrolü ile, uygulamanızı çalıştıran cihazlar aşağıdakilerden birini veya ikisini birden onaylayan bir uygulama veya cihaz onay sağlayıcısı kullanır:
- İstekler orijinal uygulamanızdan geliyordur
- İstekler, üzerinde oynanmamış, orijinal bir cihazdan gelmektedir
Bu onay, uygulamanızın belirttiğiniz API'lere yaptığı her isteğe eklenir. Uygulama Kontrolü zorunluluğunu etkinleştirdiğinizde, geçerli bir onayı olmayan istemcilerden gelen isteklerle yetki vermediğiniz bir uygulamadan veya platformdan gelen tüm istekler reddedilir.
Uygulama Kontrolü'nde aşağıdaki hizmetleri onay sağlayıcıları olarak kullanmak için yerleşik destek sunulur:
- Apple platformlarında DeviceCheck veya App Attest
- Android'de Play Integrity veya SafetyNet (kullanımdan kaldırıldı)
- reCAPTCHA Enterprise uygulamalarında görüntülenebilir.
Bunlar gereksinimleriniz için yeterli değilse üçüncü taraf onay sağlayıcısı veya kendi onay tekniklerinizi kullanan kendi hizmetinizi de uygulayabilirsiniz.
Uygulama Kontrolü aşağıdaki Google hizmetlerinde çalışır:
| Desteklenen Google hizmetleri |
|---|
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (çağrılabilir işlevler) |
| Kimlik doğrulama (beta; Firebase Authentication with Identity Platform'a yükseltilmesi gerekir) |
| iOS için Google Kimliği (beta) |
| Firebase için Vertex AI (Önizleme) |
Google dışı arka uç kaynaklarınızı korumak için de Uygulama Kontrolü'nü kullanabilirsiniz.
Başlamaya hazır mısınız?
Nasıl çalışır?
Bir hizmet için Uygulama Kontrolü'nü etkinleştirdiğinizde ve uygulamanıza istemci SDK'sını dahil ettiğinizde, düzenli olarak aşağıdakiler gerçekleşir:
- Uygulamanız, uygulamanın veya cihazın özgünlüğüne (ya da sağlayıcıya bağlı olarak her ikisine) dair onay almak için seçtiğiniz sağlayıcıyla etkileşim kurar.
- Onay, uygulamada kayıtlı parametreleri kullanarak onayın geçerliliğini doğrulayan Uygulama Kontrolü sunucusuna gönderilir ve uygulamanıza geçerlilik süresi olan bir Uygulama Kontrolü jetonu döndürür. Bu jeton, doğruladığı onay materyaliyle ilgili bazı bilgileri içerebilir.
- Uygulama Kontrolü istemci SDK'sı, uygulamanızın korunan hizmetlere yaptığı isteklerle birlikte gönderilmeye hazır bir şekilde uygulamanızdaki jetonu önbelleğe alır.
Uygulama Kontrolü ile korunan bir hizmet, yalnızca geçerli ve geçerli bir Uygulama Kontrolü jetonuyla birlikte gönderilen istekleri kabul eder.
Uygulama Kontrolü'nün sağladığı güvenlik düzeyi ne kadar?
Uygulama Kontrolü, uygulama veya cihaz özgünlüğünü belirlemek için onay sağlayıcılarının gücüne güvenir. Arka uçlarınıza yönlendirilen kötüye kullanım vektörlerinin tümünü değil de bir kısmını önler. Uygulama Kontrolü'nü kullanmak tüm kötüye kullanımların ortadan kaldırılmasını garanti etmez. Ancak Uygulama Kontrolü'nü entegre ederek arka uç kaynaklarınızı kötüye kullanıma karşı korumaya yönelik önemli bir adım atarsınız.
Uygulama Kontrolü ile Firebase Authentication'ın ilişkisi nedir?
Uygulama Kontrolü ve Firebase Authentication, uygulama güvenliği hikayenizin tamamlayıcı parçalarıdır. Firebase Authentication, kullanıcılarınızı koruyan kullanıcı kimlik doğrulaması sağlar. Uygulama Kontrolü ise uygulamanın veya cihazın gerçekliğinin onaylanmasını sağlayarak geliştirici olarak sizi korur. Uygulama Kontrolü, API çağrılarının geçerli bir Firebase Uygulama Kontrolü jetonu içermesini zorunlu kılarak Firebase kaynaklarınıza ve özel arka uçlarınıza erişimi korur. Bu iki kavram birlikte çalışarak uygulamanızın güvenliğini sağlamaya yardımcı olur.
Kotalar ve sınırlar
Uygulama Kontrolü'nü kullanımınız, kullandığınız onay sağlayıcılarının kotalarına ve sınırlarına tabidir.
DeviceCheck ve App Attest erişimi, Apple tarafından belirlenen kotalara veya sınırlamalara tabidir.
Play Integrity'nin,Standart API kullanım katmanı için günlük 10.000 çağrı kotası vardır. Kullanım katmanınızı yükseltme hakkında bilgi edinmek için Play Integrity belgelerini inceleyin.
SafetyNet'in günlük 10.000 çağrı kotası vardır. Kota artışı isteğinde bulunma hakkında bilgi edinmek için SafetyNet belgelerini inceleyin.
reCAPTCHA Enterprise ayda 1 milyon çağrı için ücretsizdir ve bunun ötesinde bir maliyetlidir. reCAPTCHA Enterprise fiyatlandırmasını inceleyin.
Başlayın
Başlamaya hazır mısınız?
Apple platformları
Android
Web
Flutter
C++
Unity
Özel bir Uygulama Kontrolü sağlayıcısının nasıl uygulanacağını öğrenin:
Firebase dışı arka uç kaynaklarınızı korumak için Uygulama Kontrolü'nü nasıl kullanacağınızı öğrenin: