Firebase App Check
App Check aide à protéger les backends de vos applications contre toute utilisation abusive en empêchant les clients non autorisés d'accéder à vos ressources backend. Il fonctionne à la fois avec les services Google (y compris les services Firebase et Google Cloud) et vos propres backends pour protéger vos ressources.
Avec App Check, les appareils exécutant votre appli utiliseront une appli ou un appareil qui atteste de l'un des éléments suivants, ou des deux:
- Les requêtes proviennent de votre application authentique
- Les demandes proviennent d'un appareil authentique et non falsifié
Cette attestation est jointe à chaque requête que votre application envoie aux API que vous spécifier. Lorsque vous activez l'application de App Check, les requêtes des clients sans attestation valide sont refusées, tout comme toute requête provenant d'une application ou d'une plate-forme que vous n'avez pas autorisée.
App Check est compatible avec l'utilisation des services suivants en tant que fournisseurs d'attestation:
- DeviceCheck (Vérification de l'appareil) ou App Attest sur les plates-formes Apple
- Play Integrity ou SafetyNet (obsolète) sur Android
- reCAPTCHA Enterprise dans les applications Web.
Si ces options ne répondent pas à vos besoins, vous pouvez également implémenter votre propre service qui utilise un fournisseur d'attestation tiers ou vos propres techniques d'attestation.
App Check fonctionne avec les services Google suivants:
Services Google compatibles |
---|
Realtime Database |
Cloud Firestore |
Cloud Storage |
Cloud Functions (fonctions appelables) |
Authentication (bêta ; nécessite une mise à niveau vers Firebase Authentication with Identity Platform) |
Identité Google pour iOS (bêta) |
Vertex AI in Firebase (Bêta) |
Vous pouvez également utiliser App Check pour protéger vos ressources backend autres que Google.
Fonctionnement
Lorsque vous activez App Check pour un service et que vous incluez le SDK client dans votre application, voici ce qui se produit régulièrement:
- Votre application interagit avec le fournisseur de votre choix pour obtenir une attestation de l'authenticité de l'application ou de l'appareil (ou les deux, selon le fournisseur).
- L'attestation est envoyée au serveur App Check, qui vérifie la validité de l'attestation à l'aide des paramètres enregistrés auprès de l'application ; et renvoie à votre application un jeton App Check avec un délai d'expiration. Ce le jeton peut conserver des informations sur le matériel d'attestation validé.
- Le SDK client App Check met en cache le jeton dans votre application, prêt à être envoyé. ainsi que toutes les requêtes que votre application envoie à des services protégés.
Un service protégé par App Check n'accepte que les requêtes accompagnées par un jeton App Check actuel et valide.
Quel est le niveau de sécurité fourni par App Check ?
App Check s'appuie sur la solidité de ses fournisseurs d'attestation pour déterminer l'authenticité de l'application ou de l'appareil. Elle empêche certains vecteurs d'abus, mais pas tous vers vos backends. L'utilisation de App Check ne garantit pas l'élimination de toutes les utilisations abusives. Toutefois, en intégrant App Check, vous êtes une étape importante vers la protection contre les abus pour vos ressources backend.
Quel est le lien entre App Check et Firebase Authentication ?
App Check et Firebase Authentication sont des éléments complémentaires de la sécurité de votre application. Firebase Authentication assure l'authentification des utilisateurs, ce qui protège votre les utilisateurs, tandis que App Check fournit une attestation de l'authenticité de l'application ou de l'appareil. qui vous protège, en tant que développeur. App Check protège l'accès à votre compte Google aux ressources de backend et aux backends personnalisés, en exigeant que les appels d'API contiennent un code Jeton App Check. Ces deux concepts fonctionnent conjointement pour vous aider à sécuriser votre application.
Quotas et limites
Votre utilisation de App Check est soumise aux quotas et limites de l'attestation fournisseurs que vous utilisez.
L'accès à DeviceCheck et App Attest est soumis aux quotas ou limites définis par Apple.
Play Integrity a un quota quotidien de 10 000 appels pour l'utilisation de l'API standard à un niveau supérieur. Pour savoir comment augmenter votre niveau d'utilisation, consultez la Documentation Play Integrity
SafetyNet dispose d'un quota quotidien de 10 000 appels. Pour savoir comment demander un d'augmentation du quota, consultez la documentation SafetyNet.
reCAPTCHA Enterprise est sans frais pour 10 000 évaluations par mois, et des frais s'appliquent au-delà. Consultez les tarifs de reCAPTCHA.
Commencer
Prêt à vous lancer ?
Plates-formes Apple
DeviceCheck (Vérification de l'appareil) App Attest
Android
Web
Flutter
C++
Unity
Découvrez comment implémenter un fournisseur App Check personnalisé.
Découvrez comment utiliser App Check pour protéger vos ressources backend autres que Google
Sélectionnez votre plate-forme:
iOS ou version ultérieure Sur Android Web Flutter