Firebase App Check
App Check ช่วยปกป้องแบ็กเอนด์ของแอปจากการละเมิดโดยป้องกันไม่ให้ไคลเอ็นต์ที่ไม่ได้รับอนุญาตเข้าถึงทรัพยากรแบ็กเอนด์ ใช้ได้กับ ทั้งบริการของ Google (รวมถึงบริการ Firebase และ Google Cloud) แบ็กเอนด์ของตัวเองเพื่อให้ทรัพยากรของคุณปลอดภัย
เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปของคุณจะใช้ผู้ให้บริการรับรองแอปหรืออุปกรณ์ที่รับรองข้อใดข้อหนึ่งหรือทั้ง 2 ข้อต่อไปนี้
- คำขอมาจากแอปที่ถูกต้อง
- คำขอมาจากอุปกรณ์ที่ถูกต้องและไม่ได้ดัดแปลง
การรับรองนี้จะแนบไปกับคําขอทั้งหมดที่แอปส่งไปยัง API ที่คุณระบุ เมื่อเปิดใช้การบังคับใช้ App Check คำขอจาก ลูกค้าที่ไม่มีเอกสารรับรองที่ถูกต้องจะถูกปฏิเสธ เช่นเดียวกับคำขอ ที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้อนุญาต
App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้ ผู้ให้บริการเอกสารรับรอง
- DeviceCheck หรือ App Attest ในแพลตฟอร์ม Apple
- Play Integrity ใน Android
- reCAPTCHA Enterprise บนเว็บแอป
หากสิ่งเหล่านี้ไม่เพียงพอสำหรับความต้องการของคุณ คุณสามารถใช้ บริการที่ใช้ผู้ให้บริการเอกสารรับรองบุคคลที่สามหรือของคุณเอง ของ Google ด้วย
App Check ทำงานร่วมกับบริการของ Google ดังต่อไปนี้
| บริการของ Google ที่รองรับ |
|---|
| Firebase Data Connect (เวอร์ชันตัวอย่าง) |
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (ฟังก์ชันที่เรียกใช้ได้) |
| Authentication (เบต้า ต้องอัปเกรดเป็น Firebase Authentication with Identity Platform) |
| Google Identity สำหรับ iOS (เบต้า) |
| Vertex AI in Firebase (เวอร์ชันตัวอย่าง) |
นอกจากนี้ คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google ได้ด้วย
วิธีการทำงาน
เมื่อคุณเปิดใช้ App Check สําหรับบริการและรวม SDK ของไคลเอ็นต์ไว้ในแอป ระบบจะทําสิ่งต่อไปนี้เป็นระยะ
- แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อขอรับเอกสารรับรอง ความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้ง 2 อย่าง ขึ้นอยู่กับผู้ให้บริการ)
- ระบบจะส่งการรับรองไปยังเซิร์ฟเวอร์ App Check ซึ่งจะตรวจสอบความถูกต้องของการรับรองโดยใช้พารามิเตอร์ที่ลงทะเบียนกับแอป และส่งโทเค็น App Check ที่มีเวลาหมดอายุไปยังแอป โทเค็นนี้อาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรองที่ยืนยันไว้
- SDK ของไคลเอ็นต์ App Check จะแคชโทเค็นในแอปของคุณและพร้อมที่จะส่ง พร้อมกับคำขอที่แอปส่งไปยังบริการที่มีการคุ้มครอง
บริการที่ได้รับการปกป้องโดย App Check จะยอมรับเฉพาะคำขอที่มาพร้อมกับโทเค็น App Check ที่ถูกต้องและใช้งานได้ในปัจจุบัน
App Check มีการรักษาความปลอดภัยที่รัดกุมเพียงใด
App Check อาศัยความน่าเชื่อถือของผู้ให้บริการการรับรองเพื่อพิจารณาความถูกต้องของแอปหรืออุปกรณ์ ช่วยป้องกันเวกเตอร์การละเมิดบางรายการ ไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่า การขจัดการละเมิดทั้งหมด แต่เมื่อผสานรวมกับ App Check ขั้นตอนสำคัญในการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์
App Check เกี่ยวข้องกับ Firebase Authentication อย่างไร
App Check และ Firebase Authentication เป็นส่วนเสริมของเรื่องราวด้านความปลอดภัยของแอป Firebase Authentication มีการตรวจสอบสิทธิ์ผู้ใช้ ซึ่งช่วยปกป้อง แต่ App Check จะให้เอกสารรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งเป็นการปกป้องคุณ ซึ่งเป็นนักพัฒนาซอฟต์แวร์ App Check จะปกป้องการเข้าถึงทรัพยากรแบ็กเอนด์ของ Google และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API ต้องมีโทเค็น App Check ที่ถูกต้อง 2 แนวคิดนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอป
โควต้าและขีดจำกัด
การใช้ App Check ขึ้นอยู่กับโควต้าและขีดจำกัดของเอกสารรับรอง ของผู้ให้บริการที่คุณใช้
การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดที่ Apple กำหนด
Play Integrity มีโควต้าการเรียกใช้ 10,000 ครั้งต่อวันสำหรับการใช้งาน API ระดับมาตรฐาน ดูข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งานได้ที่เอกสารประกอบของ Play Integrity
SafetyNet มีโควต้าการโทรรายวัน 10,000 ครั้ง โปรดดูข้อมูลเกี่ยวกับการขอเพิ่มโควต้าที่เอกสารประกอบของ SafetyNet
reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการประเมิน 10,000 ครั้งต่อเดือน และจะมีค่าใช้จ่ายเพิ่มเติมหลังจากนั้น ดูราคา reCAPTCHA
เริ่มต้นใช้งาน
หากพร้อมที่จะเริ่มแล้ว
แพลตฟอร์มของ Apple
Android
เว็บ
Flutter
C++
Unity
ดูวิธีใช้ผู้ให้บริการ App Check ที่กําหนดเอง
ดูวิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ของ Google
เลือกแพลตฟอร์มของคุณ: