Firebase App Check
App Check помогает защитить бэкенд вашего приложения от злоупотреблений, предотвращая доступ неавторизованных клиентов к вашим бэкенд-ресурсам. Сервис работает как с сервисами Google (включая Firebase и Google Cloud ), так и с вашими собственными бэкендами, обеспечивая безопасность ваших ресурсов.
Благодаря App Check устройства, на которых работает ваше приложение, будут использовать поставщика аттестации приложений или устройств, который подтверждает одно или оба из следующих условий:
- Запросы исходят из вашего подлинного приложения
- Запросы исходят от подлинного, нетронутого устройства
Это подтверждение прикрепляется к каждому запросу вашего приложения к указанным вами API. При включении принудительной App Check запросы от клиентов без действительного подтверждения будут отклоняться, как и любые запросы, исходящие от приложения или платформы, не авторизованных вами.
App Check имеет встроенную поддержку использования следующих сервисов в качестве поставщиков аттестации:
- DeviceCheck или App Attest на платформах Apple
- Play Integrity на Android
- reCAPTCHA Enterprise в веб-приложениях.
Если этого недостаточно для ваших нужд, вы также можете реализовать собственную службу, использующую либо стороннего поставщика аттестации, либо ваши собственные методы аттестации.
App Check работает со следующими сервисами Google:
| Поддерживаемые сервисы Firebase и Google Cloud |
|---|
| Firebase Authentication (предварительная версия) |
| Firebase Data Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (только вызываемые функции) |
| Логика искусственного интеллекта Firebase |
| Поддерживаемые сервисы платформы Google Maps |
| API JavaScript Карт (предварительная версия) |
| API мест (новый) (предварительная версия) |
| Другие поддерживаемые сервисы Google |
| Google Identity для iOS |
Вы также можете использовать App Check для защиты своих сторонних внутренних ресурсов, например вашего собственного внутреннего сервера.
Как это работает?
При включении App Check для сервиса и включении клиентского SDK в свое приложение периодически происходит следующее:
- Ваше приложение взаимодействует с выбранным вами поставщиком для получения подтверждения подлинности приложения или устройства (или и того, и другого, в зависимости от поставщика).
- Подтверждение отправляется на сервер App Check , который проверяет его действительность, используя параметры, зарегистрированные в приложении, и возвращает вашему приложению токен App Check с ограниченным сроком действия. Этот токен может содержать некоторую информацию о проверенном им материале подтверждения.
- Клиентский SDK App Check кэширует токен в вашем приложении, делая его готовым к отправке вместе с любыми запросами вашего приложения к защищенным службам.
Служба, защищенная App Check принимает только запросы, сопровождаемые актуальным, действительным токеном App Check .
Насколько надежен уровень безопасности, обеспечиваемый App Check ?
App Check использует данные своих поставщиков аттестации для определения подлинности приложений или устройств. Он предотвращает некоторые, но не все, векторы злоупотреблений, направленные на ваши бэкенды. Использование App Check не гарантирует полного устранения злоупотреблений, но интеграция с App Check делает важный шаг к защите ваших бэкенд-ресурсов от злоупотреблений.
Как App Check связана с Firebase Authentication ?
App Check и Firebase Authentication — взаимодополняющие элементы безопасности вашего приложения. Firebase Authentication обеспечивает аутентификацию пользователей, защищая их, в то время как App Check подтверждает подлинность приложения или устройства, защищая вас как разработчика. App Check защищает доступ к вашим бэкэнд-ресурсам Google и пользовательским бэкэндам, требуя, чтобы вызовы API содержали действительный токен App Check . Эти две концепции работают вместе, обеспечивая безопасность вашего приложения.
Квоты и лимиты
Использование вами App Check регулируется квотами и ограничениями поставщиков сертификации, услугами которых вы пользуетесь.
Доступ к DeviceCheck и App Attest регулируется любыми квотами или ограничениями, установленными Apple.
Play Integrity имеет ежедневную квоту в 10 000 вызовов для уровня использования Standard API. Информация о повышении уровня использования представлена в документации Play Integrity .
Подписка на reCAPTCHA Enterprise бесплатна при 10 000 тестирований в месяц, при превышении этого лимита взимается плата. См. цены на reCAPTCHA .
Начать
Готовы начать?
Платформы Apple
Подтверждение приложения DeviceCheck
Андроид
Интернет
Трепетание
Единство
С++
Узнайте, как реализовать собственный поставщик App Check
Поставщики индивидуальных услуг
Узнайте, как использовать App Check для защиты ваших внутренних ресурсов.
Выберите вашу платформу:
iOS+ Android Web Flutter Unity C++