Firebase App Check
App Check עוזר להגן על הקצוות העורפיים של האפליקציה מפני ניצול לרעה, על ידי מניעת הגישה של לקוחות לא מורשים למשאבי הקצה העורפי. הוא פועל עם שירותי Google (כולל Firebase ושירותי Google Cloud) ועם קצות עורפי מותאמים אישית משלכם, כדי לשמור על המשאבים שלכם בטוחים.
בעזרת App Check, במכשירים שבהם פועלת האפליקציה שלכם ישתמשו בספק אימות של אפליקציה או מכשיר שמאמת את אחד מהפרטים הבאים, או את שניהם:
- הבקשות מגיעות מהאפליקציה המאומתת
- הבקשות מגיעות ממכשיר אותנטי ולא שונה
האימות מצורף לכל בקשה שהאפליקציה שולחת לממשקי ה-API שציינתם. כשמפעילים את אכיפת App Check, בקשות מלקוחות ללא אימות תקף נדחות, וכך גם כל בקשה שמגיעה מאפליקציה או מפלטפורמה שלא אושרה.
ב-App Check יש תמיכה מובנית בשימוש בשירותים הבאים בתור ספקי אימות:
- DeviceCheck או App Attest בפלטפורמות של Apple
- Play Integrity ב-Android
- reCAPTCHA Enterprise באפליקציות אינטרנט.
אם השירותים האלה לא מספיקים לצרכים שלכם, תוכלו גם להטמיע שירות משלכם שמשתמש בספק אימות של צד שלישי או בשיטות אימות משלכם.
App Check פועל עם שירותי Google הבאים:
| שירותי Firebase ו-Google Cloud נתמכים |
|---|
| Firebase Authentication (בטא; נדרש שדרוג ל-Firebase Authentication with Identity Platform) |
| Firebase Data Connect (תצוגה מקדימה) |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (פונקציות שניתן להפעיל אותן בלבד) |
| Vertex AI in Firebase |
| שירותי פלטפורמת מפות Google נתמכים |
| Maps JavaScript API (תצוגה מקדימה) |
| Places API (חדש) (תצוגה מקדימה) |
| שירותי Google נתמכים אחרים |
| Google Identity ל-iOS |
אפשר גם להשתמש ב-App Check כדי להגן על משאבי קצה עורפי בהתאמה אישית שאינם של Google, כמו קצה עורפי באירוח עצמי.
איך זה עובד?
כשמפעילים את App Check בשירות ומצרפים את ה-SDK של הלקוח לאפליקציה, מתרחשים באופן קבוע האירועים הבאים:
- האפליקציה שלכם יוצרת אינטראקציה עם הספק שבחרתם כדי לקבל אימות של האותנטיות של האפליקציה או המכשיר (או של שניהם, בהתאם לספק).
- האימות נשלח לשרת App Check, שמאמת את התוקף של האימות באמצעות פרמטרים שרשומים באפליקציה, ומחזיר לאפליקציה אסימון App Check עם תאריך תפוגה. יכול להיות שהאסימון הזה ישמור מידע מסוים על חומר האימות שהוא אימת.
- ה-SDK של לקוח App Check מאחסן את האסימון באפליקציה, ומכין אותו לשליחה יחד עם כל הבקשות שהאפליקציה שולחת לשירותים המוגנים.
שירות שמוגן באמצעות App Check מקבל רק בקשות שמצורף אליהן אסימון App Check תקף ועדכני.
עד כמה האבטחה של App Check חזקה?
App Check מסתמך על חוזק ספקי האימות שלו כדי לקבוע את האותנטיות של האפליקציה או המכשיר. הוא מונע חלק ממישורי ההתקפה הפוגעים שמכוונים לקצוות העורפי שלכם, אבל לא את כולם. השימוש ב-App Check לא מבטיח שתמנעו מכל ניצול לרעה, אבל השילוב עם App Check הוא צעד חשוב להגנה על משאבי הקצה העורפי מפני ניצול לרעה.
מה הקשר בין App Check ל-Firebase Authentication?
App Check ו-Firebase Authentication הם חלקים משלימים של תמונת האבטחה של האפליקציה. Firebase Authentication מספק אימות משתמשים, שמגן על המשתמשים שלכם, ואילו App Check מספק אימות של אותנטיות האפליקציה או המכשיר, שמגן עליכם, המפתחים. App Check מגן על הגישה למשאבי הקצה העורפי של Google ולקצות עורפי מותאמים אישית, על ידי דרישת קריאות API שמכילות אסימון App Check תקף. שני המושגים האלה פועלים יחד כדי לאבטח את האפליקציה.
מכסות ומגבלות
השימוש ב-App Check כפוף למכסות ולמגבלות של ספקי האימות שבהם אתם משתמשים.
הגישה ל-DeviceCheck ול-App Attest כפופה למכסות או למגבלות שקבעה Apple.
ברמת השימוש הרגילה ב-API של Play Integrity יש מכסה יומית של 10,000 קריאות. למידע על העלאת רמת השימוש, קראו את מסמכי העזרה של Play Integrity.
למכסה היומית של SafetyNet יש 10,000 שיחות. מידע נוסף על שליחת בקשה להגדלת המכסה זמין במסמכי העזרה של SafetyNet.
שירות reCAPTCHA Enterprise ניתן ללא עלות עבור 10,000 בדיקות בחודש, ומעבר למספר הזה יש עלות. מחירון reCAPTCHA
שנתחיל?
שנתחיל?
פלטפורמות של Apple
Android
אינטרנט
Flutter
Unity
C++
איך מטמיעים ספק App Check בהתאמה אישית
איך משתמשים ב-App Check כדי להגן על משאבי הקצה העורפי בהתאמה אישית
בוחרים את הפלטפורמה:
iOS+ Android אינטרנט Flutter Unity C++