Firebase App Check

App Check ช่วยปกป้องแบ็กเอนด์ของแอปจากการละเมิดโดยการป้องกัน ไคลเอ็นต์ที่ไม่ได้รับอนุญาตไม่ให้เข้าถึงทรัพยากรแบ็กเอนด์ของคุณ ใช้ได้กับ ทั้งบริการของ Google (รวมถึงบริการ Firebase และ Google Cloud) แบ็กเอนด์ของตัวเองเพื่อให้ทรัพยากรของคุณปลอดภัย

เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปของคุณจะใช้แอปหรืออุปกรณ์ ผู้ให้บริการเอกสารรับรองที่ยืนยันข้อใดข้อหนึ่งหรือทั้ง 2 ข้อต่อไปนี้

  • คำขอมาจากแอปของคุณเอง
  • คำขอมาจากอุปกรณ์ที่ถูกต้องและไม่ได้ดัดแปลง

เอกสารรับรองนี้แนบอยู่กับทุกคำขอที่แอปของคุณสร้างขึ้นกับ API ที่คุณ ระบุ เมื่อเปิดใช้การบังคับใช้ App Check คำขอจาก ลูกค้าที่ไม่มีเอกสารรับรองที่ถูกต้องจะถูกปฏิเสธ เช่นเดียวกับคำขอ ที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้อนุญาต

App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้ ผู้ให้บริการเอกสารรับรอง

หากสิ่งเหล่านี้ไม่เพียงพอสำหรับความต้องการของคุณ คุณสามารถใช้ บริการที่ใช้ผู้ให้บริการเอกสารรับรองบุคคลที่สามหรือของคุณเอง ของการรับรอง

App Check ทำงานร่วมกับบริการของ Google ดังต่อไปนี้

บริการของ Google ที่รองรับ
Realtime Database
Cloud Firestore
Cloud Storage
Cloud Functions (ฟังก์ชันที่เรียกใช้ได้)
Authentication (เบต้า ต้องอัปเกรดเป็น Firebase Authentication with Identity Platform)
Google Identity สำหรับ iOS (เบต้า)
Vertex AI in Firebase (เวอร์ชันตัวอย่าง)

คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google ได้ด้วย

ดูวิธีเริ่มต้นใช้งาน

วิธีการทำงาน

เมื่อคุณเปิดใช้ App Check สำหรับบริการและรวม SDK ของไคลเอ็นต์ กับแอปของคุณ สิ่งต่อไปนี้จะเกิดขึ้นเป็นระยะๆ

  1. แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อขอรับเอกสารรับรอง ความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้ง 2 อย่าง ขึ้นอยู่กับผู้ให้บริการ)
  2. ระบบจะส่งเอกสารรับรองไปยังเซิร์ฟเวอร์ App Check ซึ่งจะยืนยัน ความถูกต้องของเอกสารรับรองโดยใช้พารามิเตอร์ที่บันทึกไว้กับแอป และ จะแสดงโทเค็น App Check พร้อมเวลาหมดอายุที่แอปของคุณ ช่วงเวลานี้ แต่โทเค็นอาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรอง ยืนยันแล้ว
  3. SDK ของไคลเอ็นต์ App Check จะแคชโทเค็นในแอปของคุณและพร้อมที่จะส่ง พร้อมกับคำขอที่แอปส่งไปยังบริการที่มีการคุ้มครอง

บริการที่ได้รับการคุ้มครองโดย App Check จะยอมรับคำขอที่ทำงานควบคู่ไปด้วยเท่านั้น ตามโทเค็น App Check ที่ถูกต้องในปัจจุบัน

App Check มีการรักษาความปลอดภัยที่เข้มงวดเพียงใด

App Check อาศัยความรัดกุมของผู้ให้บริการเอกสารรับรองเพื่อพิจารณา ความถูกต้องของแอปหรืออุปกรณ์ ช่วยป้องกันเวกเตอร์การละเมิดบางรายการ ไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่า การขจัดการละเมิดทั้งหมด แต่เมื่อผสานรวมกับ App Check ขั้นตอนสำคัญในการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์

App Check และ Firebase Authentication เป็นส่วนส่งเสริมการรักษาความปลอดภัยของแอป เรื่องราวของคุณ Firebase Authentication มีการตรวจสอบสิทธิ์ผู้ใช้ ซึ่งช่วยปกป้อง แต่ App Check จะให้เอกสารรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งเป็นการปกป้องคุณ ซึ่งเป็นนักพัฒนาซอฟต์แวร์ App Check ป้องกันการเข้าถึง Google ของคุณ ทรัพยากรแบ็กเอนด์และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API มี App Check โทเค็น แนวคิดทั้งสองนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอปของคุณ

โควต้าและขีดจำกัด

การใช้ App Check ขึ้นอยู่กับโควต้าและขีดจำกัดของเอกสารรับรอง ของผู้ให้บริการที่คุณใช้

  • การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดใดๆ ที่ตั้งไว้ ของ Apple

  • Play Integrity มีโควต้าการเรียกใช้รายวัน 10,000 ครั้งสำหรับการใช้งาน API มาตรฐาน สำหรับข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งาน โปรดดูที่ ดูเอกสารประกอบของ Play Integrity

  • SafetyNet มีโควต้าการเรียก 10,000 ครั้งต่อวัน สำหรับข้อมูลเกี่ยวกับการส่งคำขอ การเพิ่มโควต้า โปรดดูเอกสาร SafetyNet

  • reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการประเมิน 10,000 ครั้งในแต่ละเดือนและ ค่าใช้จ่ายที่นอกเหนือไปจากนั้น ดูการกำหนดราคา reCAPTCHA

เริ่มต้นใช้งาน

หากพร้อมที่จะเริ่มแล้ว

แพลตฟอร์ม Apple

การตรวจสอบอุปกรณ์ เอกสารรับรองแอป

Android

Play Integrity

เว็บ

reCAPTCHA Enterprise

Flutter

ผู้ให้บริการเริ่มต้น

C++

ผู้ให้บริการเริ่มต้น

Unity

ผู้ให้บริการเริ่มต้น

ดูวิธีใช้ผู้ให้บริการ App Check ที่กำหนดเอง

ผู้ให้บริการที่กำหนดเอง

ดูวิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google

เลือกแพลตฟอร์มของคุณ:

iOS แอนดรอยด์ เว็บ Flutter