Firebase App Check

App Check 可防止未經授權的用戶端存取後端資源,避免應用程式後端遭到濫用。這項服務可與 Google 服務 (包括 Firebase 和 Google Cloud 服務) 和您自己的自訂後端搭配使用,確保資源安全無虞。

使用 App Check 後,執行您應用程式的裝置會使用應用程式或裝置認證提供者,認證下列一或多項內容:

  • 要求來自正版應用程式
  • 要求來自未經竄改的真實裝置

這項認證會附加至應用程式向您指定的 API 發出的每項要求。啟用 App Check 強制執行後,系統會拒絕來自沒有有效認證的用戶端的要求,以及來自您未授權應用程式或平台的要求。

App Check 內建支援使用下列服務做為認證供應商:

如果這些方法不符合需求,您也可以使用第三方認證供應商或自己的認證技術,實作專屬服務。

App Check 支援下列 Google 服務:

支援的 Firebase 和 Google Cloud 服務
Firebase Authentication (預先發布版)
Firebase Data Connect
Cloud Firestore
Firebase Realtime Database
Cloud Storage for Firebase
Cloud Functions for Firebase (僅限可呼叫函式)
Firebase AI Logic
支援的 Google 地圖平台服務
Maps JavaScript API (搶先版)
Places API (新版) (預先發布版)
其他支援的 Google 服務
Google Identity for iOS

您也可以使用 App Check 保護非 Google 自訂後端資源,例如自行管理的後端。

瞭解如何開始使用

運作原理

為服務啟用 App Check 並在應用程式中加入用戶端 SDK 時,系統會定期執行下列動作:

  1. 應用程式會與您選擇的供應商互動,取得應用程式或裝置 (或兩者,視供應商而定) 的真實性認證。
  2. 認證會傳送至 App Check 伺服器,該伺服器會使用向應用程式註冊的參數,驗證認證的有效性,並將含有有效期限的 App Check 權杖傳回應用程式。這個權杖可能會保留部分驗證資料的資訊。
  3. App Check 用戶端 SDK 會在應用程式中快取權杖,準備好與應用程式對受保護服務提出的任何要求一併傳送。

App Check 保護的服務只接受附有目前有效 App Check 權杖的要求。

App Check 的安全防護有多強大?

App Check 會根據認證供應商的強度,判斷應用程式或裝置是否為正版。這項功能可防範部分 (但不是全部) 針對後端的濫用向量。使用 App Check 無法保證能完全杜絕濫用行為,但整合 App Check 是保護後端資源免於濫用的重要步驟。

App CheckFirebase Authentication 是應用程式安全故事的互補部分。Firebase Authentication 提供使用者驗證,保護使用者;App Check 則提供應用程式或裝置的真實性認證,保護開發人員。App Check 會要求 API 呼叫必須包含有效的 App Check 權杖,藉此保護 Google 後端資源和自訂後端。這兩個概念相輔相成,有助於保護應用程式安全。

配額與限制

使用 App Check 時,必須遵守所用認證供應商的配額和限制。

  • DeviceCheck 和 App Attest 的存取權須遵守 Apple 設定的配額或限制。

  • Play Integrity 的標準 API 用量層級每日配額為 10,000 次呼叫。如要瞭解如何提高用量層級,請參閱 Play Integrity 說明文件

  • reCAPTCHA Enterprise 每月提供 10,000 次免費評估,超過次數則須付費。請參閱 reCAPTCHA 定價

開始使用

準備踏出第一步了嗎?

Apple 平台

DeviceCheck App Attest

Android

Play Integrity

網頁

reCAPTCHA Enterprise

Flutter

預設供應商

Unity

預設供應商

C++

預設供應商

瞭解如何導入自訂 App Check 提供者

自訂供應商

瞭解如何使用 App Check 保護自訂後端資源

選取平台:

iOS+ Android 網頁 Flutter Unity C++