Controllo dell'app Firebase
App Check aiuta a proteggere le tue risorse API da abusi impedendo ai client non autorizzati di accedere alle tue risorse di back-end. Funziona con entrambi i servizi Firebase, i servizi Google Cloud e le tue API per mantenere le tue risorse al sicuro.
Con App Check, i dispositivi che eseguono la tua app utilizzeranno un provider di attestazione dell'app o del dispositivo che attesta uno o entrambi i seguenti elementi:
- Le richieste provengono dalla tua app autentica
- Le richieste provengono da un dispositivo autentico e non manomesso
Questa attestazione è allegata a ogni richiesta che l'app effettua alle API specificate. Quando abiliti l'applicazione di App Check, le richieste dei client senza un'attestazione valida verranno rifiutate, così come qualsiasi richiesta proveniente da un'app o una piattaforma non autorizzata.
App Check ha un supporto integrato per l'utilizzo dei seguenti servizi come provider di attestazione:
- DeviceCheck o App Attest su piattaforme Apple
- Gioca a Integrity o SafetyNet (obsoleto) su Android
- reCAPTCHA v3 o reCAPTCHA Enterprise su app Web
Se questi non sono sufficienti per le tue esigenze, puoi anche implementare il tuo servizio che utilizza un provider di attestazione di terze parti o le tue tecniche di attestazione.
App Check attualmente funziona con i seguenti prodotti Firebase:
Prodotti Firebase supportati |
---|
Database in tempo reale |
Cloud Firestore |
Archiviazione su cloud |
Funzioni Cloud (funzioni richiamabili) |
Puoi anche utilizzare App Check per proteggere le tue risorse back-end non Firebase.
Pronto per iniziare?
Come funziona?
Quando abiliti App Check per un servizio e includi l'SDK client nella tua app, periodicamente si verifica quanto segue:
- La tua app interagisce con il provider di tua scelta per ottenere un'attestazione dell'autenticità dell'app o del dispositivo (o entrambi, a seconda del provider).
- L'attestazione viene inviata al server App Check, che verifica la validità dell'attestazione utilizzando i parametri registrati con l'app e restituisce all'app un token App Check con una data di scadenza. Questo token potrebbe conservare alcune informazioni sul materiale di attestazione che ha verificato.
- L'SDK client di App Check memorizza nella cache il token nell'app, pronto per essere inviato insieme a qualsiasi richiesta effettuata dall'app ai servizi protetti.
Un servizio protetto da App Check accetta solo richieste accompagnate da un token App Check valido.
Quanto è forte la sicurezza fornita da App Check?
App Check si basa sulla forza dei suoi fornitori di attestazione per determinare l'autenticità dell'app o del dispositivo. Previene alcuni, ma non tutti, vettori di abuso diretti ai tuoi back-end. L'utilizzo di App Check non garantisce l'eliminazione di tutti gli abusi, ma integrandosi con App Check stai compiendo un passo importante verso la protezione dagli abusi per le tue risorse di back-end.
In che modo App Check è correlato all'autenticazione Firebase?
App Check e Firebase Authentication sono parti complementari della storia della sicurezza delle tue app. L'autenticazione Firebase fornisce l'autenticazione dell'utente, che protegge i tuoi utenti, mentre App Check fornisce l'attestazione dell'autenticità dell'app o del dispositivo, che protegge te, lo sviluppatore. App Check protegge l'accesso alle tue risorse Firebase e ai backend personalizzati richiedendo che le chiamate API contengano un token Firebase App Check valido. Questi due concetti interagiscono per proteggere la tua app.
Quote e limiti
L'utilizzo di App Check è soggetto alle quote e ai limiti dei fornitori di attestazione che utilizzi.
L'accesso a DeviceCheck e App Attest è soggetto a quote o limitazioni stabilite da Apple.
Play Integrity ha una quota giornaliera di 10.000 chiamate per il suo livello di utilizzo dell'API Standard. Per informazioni sull'aumento del livello di utilizzo, consulta la documentazione sull'integrità del gioco .
SafetyNet ha una quota giornaliera di 10.000 chiamate. Per informazioni sulla richiesta di un aumento della quota, vedere la documentazione di SafetyNet .
reCAPTCHA v3 ha una quota mensile di 1 milione di chiamate e un limite di 1.000 QPS. Per informazioni sulla richiesta di un aumento della quota, consultare la documentazione reCAPTCHA .
reCAPTCHA Enterprise è gratuito per 1 milione di chiamate al mese e a un costo superiore. Vedi i prezzi di reCAPTCHA Enterprise .
Iniziare
Pronto per iniziare?
Piattaforme Apple
Attestazione dell'app DeviceCheck
Androide
ragnatela
reCAPTCHA v3 reCAPTCHA Enterprise
Svolazzare
Scopri come implementare un provider di App Check personalizzato:
Scopri come utilizzare App Check per proteggere le tue risorse back-end non Firebase: