Firebase App Check
App Check помогает защитить серверные части вашего приложения от злоупотреблений, предотвращая доступ неавторизованных клиентов к вашим серверным ресурсам. Он работает как со службами Google (включая службы Firebase и Google Cloud), так и с вашими собственными серверами, обеспечивая безопасность ваших ресурсов.
При использовании App Check устройства, на которых работает ваше приложение, будут использовать поставщика аттестации приложений или устройств, который подтверждает одно или оба следующих пункта:
- Запросы исходят из вашего подлинного приложения
- Запросы исходят от подлинного незащищенного устройства.
Это подтверждение прилагается к каждому запросу, который ваше приложение отправляет к указанным вами API. Если вы включите принудительное применение App Check , запросы от клиентов без действительного подтверждения будут отклонены, как и любой запрос, исходящий от приложения или платформы, которые вы не авторизовали.
App Check имеет встроенную поддержку использования следующих служб в качестве поставщиков аттестации:
- DeviceCheck или App Attest на платформах Apple
- Играйте в Integrity или SafetyNet (устарело) на Android
- reCAPTCHA Enterprise в веб-приложениях.
Если этого недостаточно для ваших нужд, вы также можете реализовать собственную службу, использующую либо стороннего поставщика аттестации, либо ваши собственные методы аттестации.
App Check работает со следующими сервисами Google:
| Поддерживаемые сервисы Google |
|---|
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (вызываемые функции) |
| Authentication (бета-версия; требуется обновление до Firebase Authentication with Identity Platform ) |
| Google Identity для iOS (бета-версия) |
| Vertex AI in Firebase (предварительная версия) |
Вы также можете использовать App Check для защиты своих серверных ресурсов, не принадлежащих Google.
Как это работает?
Когда вы включаете App Check для службы и включаете клиентский SDK в свое приложение, периодически происходит следующее:
- Ваше приложение взаимодействует с выбранным вами поставщиком для получения подтверждения подлинности приложения или устройства (или того и другого, в зависимости от поставщика).
- Аттестация отправляется на сервер App Check , который проверяет достоверность аттестации с использованием параметров, зарегистрированных в приложении, и возвращает вашему приложению токен App Check со сроком действия. Этот токен может хранить некоторую информацию о аттестационном материале, который он проверил.
- Клиентский SDK App Check кэширует токен в вашем приложении, готовый к отправке вместе с любыми запросами, которые ваше приложение отправляет защищенным службам.
Служба, защищенная с помощью App Check принимает только запросы, сопровождаемые текущим действительным токеном App Check .
Насколько надежна безопасность, обеспечиваемая App Check ?
App Check полагается на надежность своих поставщиков аттестации для определения подлинности приложения или устройства. Это предотвращает некоторые, но не все, направления злоупотреблений, направленные на ваши серверные части. Использование App Check не гарантирует устранение всех злоупотреблений, но, интегрируясь с App Check , вы делаете важный шаг на пути к защите от злоупотреблений для ваших серверных ресурсов.
Как App Check связана с Firebase Authentication ?
App Check и Firebase Authentication — это взаимодополняющие части истории безопасности вашего приложения. Firebase Authentication обеспечивает аутентификацию пользователей, которая защищает ваших пользователей, тогда как App Check обеспечивает подтверждение подлинности приложения или устройства, что защищает вас, как разработчика. App Check защищает доступ к вашим серверным ресурсам Google и пользовательским серверным модулям, требуя, чтобы вызовы API содержали действительный токен App Check . Эти две концепции работают вместе, чтобы обеспечить безопасность вашего приложения.
Квоты и лимиты
Использование вами App Check регулируется квотами и ограничениями используемых вами поставщиков аттестации.
Доступ к DeviceCheck и App Attest регулируется любыми квотами и ограничениями, установленными Apple.
Play Integrity имеет ежедневную квоту в 10 000 вызовов для стандартного уровня использования API. Информацию о повышении уровня использования см. в документации Play Integrity .
SafetyNet имеет ежедневную квоту в 10 000 вызовов. Информацию о запросе увеличения квоты см. в документации SafetyNet .
reCAPTCHA Enterprise бесплатна для 10 000 оценок каждый месяц, а за ее пределами взимается дополнительная плата. См. цены на reCAPTCHA .
Начать
Готовы начать?
платформы Apple
Аттестация приложения DeviceCheck
Андроид
Интернет
трепетать
С++
Единство
Узнайте, как реализовать собственный поставщик App Check .
Узнайте, как использовать App Check для защиты серверных ресурсов, не принадлежащих Google.
Выберите свою платформу: