Firebase App Check
App Check giúp bảo vệ phần phụ trợ của ứng dụng khỏi bị lợi dụng bằng cách ngăn chặn các ứng dụng không được uỷ quyền truy cập vào tài nguyên phụ trợ của bạn. API này hoạt động với cả các dịch vụ của Google (bao gồm cả Firebase và các dịch vụ của Google Cloud) và phần phụ trợ của riêng bạn để đảm bảo an toàn cho tài nguyên của bạn.
Với App Check, các thiết bị chạy ứng dụng của bạn sẽ sử dụng một nhà cung cấp chứng thực ứng dụng hoặc thiết bị chứng thực một hoặc cả hai điều sau:
- Yêu cầu bắt nguồn từ ứng dụng chính thống của bạn
- Yêu cầu bắt nguồn từ một thiết bị xác thực, không bị can thiệp
Thông tin chứng thực này được đính kèm vào mọi yêu cầu mà ứng dụng của bạn gửi đến các API mà bạn chỉ định. Khi bạn bật tính năng thực thi App Check, các yêu cầu từ ứng dụng không có chứng thực hợp lệ sẽ bị từ chối, cũng như mọi yêu cầu bắt nguồn từ ứng dụng hoặc nền tảng mà bạn chưa cho phép.
App Check tích hợp sẵn tính năng hỗ trợ sử dụng các dịch vụ sau đây làm nhà cung cấp chứng thực:
- DeviceCheck hoặc App Attest trên các nền tảng của Apple
- API Tính toàn vẹn của Play trên Android
- reCAPTCHA Enterprise trên ứng dụng web.
Nếu các dịch vụ này không đáp ứng nhu cầu của bạn, bạn cũng có thể triển khai dịch vụ của riêng mình sử dụng nhà cung cấp chứng thực bên thứ ba hoặc các kỹ thuật chứng thực của riêng bạn.
App Check hoạt động với các dịch vụ sau của Google:
| Các dịch vụ Firebase và Google Cloud được hỗ trợ |
|---|
| Data Connect (Bản xem trước) |
| Vertex AI in Firebase |
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (hàm có thể gọi) |
| Authentication (thử nghiệm; cần nâng cấp lên Firebase Authentication with Identity Platform) |
| Các dịch vụ Nền tảng Google Maps được hỗ trợ |
| Maps JavaScript API (Bản dùng thử) |
| Places API (Mới) (Bản dùng thử) |
| Các dịch vụ khác của Google được hỗ trợ |
| Google Identity cho iOS |
Bạn cũng có thể sử dụng App Check để bảo vệ các tài nguyên phụ trợ không phải của Google.
Tính năng này hoạt động như thế nào?
Khi bạn bật App Check cho một dịch vụ và đưa SDK ứng dụng vào ứng dụng, những việc sau đây sẽ xảy ra định kỳ:
- Ứng dụng của bạn tương tác với nhà cung cấp mà bạn chọn để xác thực tính xác thực của ứng dụng hoặc thiết bị (hoặc cả hai, tuỳ thuộc vào nhà cung cấp).
- Thông tin chứng thực được gửi đến máy chủ App Check. Máy chủ này sẽ xác minh tính hợp lệ của thông tin chứng thực bằng cách sử dụng các tham số đã đăng ký với ứng dụng và trả về cho ứng dụng một mã thông báo App Check có thời gian hết hạn. Mã thông báo này có thể giữ lại một số thông tin về tài liệu chứng thực mà mã thông báo đã xác minh.
- SDK ứng dụng App Check lưu mã thông báo vào bộ nhớ đệm trong ứng dụng của bạn, sẵn sàng được gửi cùng với mọi yêu cầu mà ứng dụng của bạn đưa ra cho các dịch vụ được bảo vệ.
Dịch vụ được bảo vệ bằng App Check chỉ chấp nhận các yêu cầu đi kèm với mã thông báo App Check hợp lệ, hiện tại.
Mức độ bảo mật mà App Check cung cấp mạnh đến mức nào?
App Check dựa vào độ mạnh của các nhà cung cấp dịch vụ chứng thực để xác định tính xác thực của ứng dụng hoặc thiết bị. Phương thức này ngăn chặn một số (nhưng không phải tất cả) vectơ hành vi sai trái nhắm đến phần phụ trợ của bạn. Việc sử dụng App Check không đảm bảo loại bỏ được tất cả hành vi sai trái, nhưng bằng cách tích hợp với App Check, bạn đang thực hiện một bước quan trọng để bảo vệ tài nguyên phụ trợ của mình khỏi hành vi sai trái.
App Check có liên quan như thế nào đến Firebase Authentication?
App Check và Firebase Authentication là những phần bổ sung cho câu chuyện về bảo mật ứng dụng. Firebase Authentication cung cấp tính năng xác thực người dùng để bảo vệ người dùng, còn App Check cung cấp tính năng chứng thực tính xác thực của ứng dụng hoặc thiết bị để bảo vệ bạn, nhà phát triển. App Check bảo vệ quyền truy cập vào các tài nguyên phụ trợ của Google và các phụ trợ tuỳ chỉnh bằng cách yêu cầu các lệnh gọi API chứa mã thông báo App Check hợp lệ. Hai khái niệm này hoạt động cùng nhau để giúp bảo mật ứng dụng của bạn.
Hạn mức và giới hạn
Việc bạn sử dụng App Check phải tuân theo hạn mức và giới hạn của nhà cung cấp chứng thực mà bạn sử dụng.
Quyền truy cập vào DeviceCheck và Chứng thực ứng dụng phải tuân theo mọi hạn mức hoặc giới hạn do Apple đặt ra.
API Tính toàn vẹn của Play có hạn mức hằng ngày là 10.000 lệnh gọi cho cấp sử dụng API Chuẩn. Để biết thông tin về cách nâng cấp cấp sử dụng, hãy xem tài liệu về API Tính toàn vẹn của Play.
SafetyNet có hạn mức 10.000 lệnh gọi mỗi ngày. Để biết thông tin về cách yêu cầu tăng hạn mức, hãy xem tài liệu về SafetyNet.
reCAPTCHA Enterprise miễn phí cho 10.000 bài đánh giá mỗi tháng và tính phí cho số lượng bài đánh giá vượt quá hạn mức đó. Xem bảng giá của reCAPTCHA.
Bắt đầu
Bạn đã sẵn sàng bắt đầu?
Nền tảng Apple
DeviceCheck Chứng thực ứng dụng
Android
Web
Flutter
C++
Unity
Tìm hiểu cách triển khai trình cung cấp App Check tuỳ chỉnh
Tìm hiểu cách sử dụng App Check để bảo vệ các tài nguyên phụ trợ không phải của Google
Chọn nền tảng của bạn: