Firebase App Check
App Check verhindert, dass Ihre Anwendungs-Back-Ends vor Missbrauch geschützt werden, indem sie Folgendes verhindert: können nicht autorisierte Clients auf Ihre Back-End-Ressourcen zugreifen. Funktioniert mit Google-Dienste (einschließlich Firebase- und Google Cloud-Dienste) und Ihre eigene Back-Ends, um Ihre Ressourcen zu schützen.
Mit App Check verwenden Geräte, auf denen deine App ausgeführt wird, eine App oder ein Gerät Bescheinigungsanbieter, der mindestens eines der folgenden Kriterien erfüllt:
- Anfragen stammen von Ihrer authentischen App
- Anfragen stammen von einem authentischen, manipulierten Gerät
Diese Attestierung wird an jede Anfrage angehängt, die Ihre App an die von Ihnen angeben. Wenn Sie die Erzwingung von App Check aktivieren, werden Anfragen von Clients ohne gültige Attestierung abgelehnt. Das gilt auch für Anfragen von Apps oder Plattformen, die Sie nicht autorisiert haben.
App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Attestierungsanbieter:
- Geräteprüfung oder App Attest auf Apple-Plattformen
- Play Integrity oder SafetyNet (eingestellt) für Android
- reCAPTCHA Enterprise für Web-Apps.
Wenn diese für Ihre Anforderungen nicht ausreichen, können Sie auch Ihre eigenen Dienst, der entweder einen Drittanbieter oder Ihren eigenen Attestierungsdienst verwendet Attestierungstechniken.
App Check funktioniert mit den folgenden Google-Diensten:
| Unterstützte Google-Dienste |
|---|
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (aufrufbare Funktionen) |
| Authentication (Beta; Upgrade auf Firebase Authentication with Identity Platform erforderlich) |
| Google Identity for iOS (Beta) |
| Vertex AI in Firebase (Vorschau) |
Sie können auch App Check verwenden, um Ihre Backend-Ressourcen zu schützen, die nicht von Google stammen.
Funktionsweise
Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einbinden, geschieht Folgendes regelmäßig:
- Deine App interagiert mit dem Anbieter deiner Wahl, um eine Bestätigung zu erhalten der Authentizität der App oder des Geräts (oder beides, je nach Anbieter).
- Die Attestierung wird an den App Check-Server gesendet, der die Gültigkeit der Attestierung mithilfe von Parametern, die in der Anwendung registriert sind gibt ein App Check-Token mit Ablaufzeit an Ihre Anwendung zurück. Dieses Token kann einige Informationen zum Attestierungsmaterial enthalten, das überprüft wurde.
- Das App Check-Client-SDK speichert das Token in Ihrer App und sendet es zusammen mit allen Anfragen Ihrer App an geschützte Dienste.
Ein durch App Check geschützter Dienst akzeptiert nur Anfragen, die begleitet sind durch ein aktuelles, gültiges App Check-Token.
Wie sicher ist App Check?
App Check stützt sich bei der Bestimmung auf die Stärke seiner Attestierungsanbieter App- oder Geräte-Authentizität. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Back-Ends gerichtet sind. Die Verwendung von App Check kann nicht garantieren, dass Missbrauch vollständig verhindert wird. Durch die Einbindung von App Check gehen Sie jedoch einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.
In welcher Beziehung steht App Check zu Firebase Authentication?
App Check und Firebase Authentication sind komplementäre Teile Ihrer App-Sicherheitsgeschichte. Firebase Authentication bietet eine Nutzerauthentifizierung, die Ihr Nutzer, während App Check die Authentizität von Apps oder Geräten bestätigt, das Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihr Google-Konto Back-End-Ressourcen und benutzerdefinierte Back-Ends, indem Sie festlegen, dass API-Aufrufe ein gültiges App Check Token. Diese beiden Konzepte tragen zusammen zum Schutz Ihrer App bei.
Kontingente und Limits
Deine Verwendung von App Check unterliegt den Kontingenten und Limits der Attestierung die Sie nutzen.
Der Zugriff auf DeviceCheck und App Attest unterliegt allen festgelegten Kontingenten oder Beschränkungen von Apple.
Play Integrity hat für die Standard-API-Nutzung ein Tageskontingent von 10.000 Aufrufen Stufe. Informationen zum Erhöhen Ihrer Nutzungsstufe finden Sie in der Play Integrity-Dokumentation
SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Informationen zum Anfordern eines Informationen zur Kontingenterhöhung finden Sie in der SafetyNet-Dokumentation.
reCAPTCHA Enterprise ist für 10.000 Bewertungen pro Monat kostenlos und bietet eine darüber hinaus die Kosten. Siehe reCAPTCHA-Preise.
Jetzt starten
Startbereit?
Apple-Plattformen
Android
Web
Flutter
C++
Einheit
Informationen zum Implementieren eines benutzerdefinierten App Check-Anbieters
Hier erfahren Sie, wie Sie mit App Check Ihre Backend-Ressourcen schützen, die nicht von Google stammen
Plattform auswählen:
iOS oder höher Android-Gerät Web Flattern