Firebase App Check
App Check verhindert, dass Ihre Anwendungs-Back-Ends vor Missbrauch geschützt werden, indem sie Folgendes verhindert: können nicht autorisierte Clients auf Ihre Back-End-Ressourcen zugreifen. Sie funktioniert sowohl mit Google-Diensten (einschließlich Firebase- und Google Cloud-Diensten) als auch mit Ihren eigenen Back-Ends, um Ihre Ressourcen zu schützen.
Mit App Check wird auf Geräten, auf denen deine App ausgeführt wird, eine App oder ein Gerät verwendet Bescheinigungsanbieter, der mindestens eines der folgenden Kriterien erfüllt:
- Anfragen stammen aus Ihrer authentischen App
- Anfragen stammen von einem authentischen, manipulierten Gerät
Diese Attestierung wird jeder Anfrage Ihrer App an die von Ihnen angegebenen APIs angehängt. Wenn Sie die Erzwingung von App Check aktivieren, werden Anfragen von Clients ohne gültige Attestierung abgelehnt. Das gilt auch für Anfragen von Apps oder Plattformen, die Sie nicht autorisiert haben.
App Check unterstützt die folgenden Dienste als Attestierungsanbieter:
- Geräteprüfung oder App Attest auf Apple-Plattformen
- Play Integrity auf Android-Geräten
- reCAPTCHA Enterprise für Web-Apps.
Wenn diese für Ihre Anforderungen nicht ausreichen, können Sie auch Ihre eigenen Dienst, der entweder einen Drittanbieter oder Ihren eigenen Attestierungsdienst verwendet Attestierungstechniken.
App Check funktioniert mit den folgenden Google-Diensten:
| Unterstützte Google-Dienste |
|---|
| Firebase Data Connect (Vorschau) |
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (aufrufbare Funktionen) |
| Authentication (Beta; erfordert ein Upgrade auf Firebase Authentication with Identity Platform) |
| Google Identity für iOS (Beta) |
| Vertex AI in Firebase (Vorschau) |
Sie können App Check auch verwenden, um Ihre nicht von Google stammenden Backend-Ressourcen zu schützen.
Funktionsweise
Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einbinden, geschieht Folgendes regelmäßig:
- Deine App interagiert mit dem Anbieter deiner Wahl, um eine Bestätigung zu erhalten der Authentizität der App oder des Geräts (oder beides, je nach Anbieter).
- Die Attestierung wird an den App Check-Server gesendet, der die Gültigkeit der Attestierung mithilfe von Parametern, die in der Anwendung registriert sind gibt ein App Check-Token mit Ablaufzeit an Ihre Anwendung zurück. Dieses Das Token enthält möglicherweise Informationen zum Attestierungsmaterial, das es enthält. bestätigt.
- Das App Check-Client-SDK speichert das Token in Ihrer App und sendet es zusammen mit allen Anfragen Ihrer App an geschützte Dienste.
Ein durch App Check geschützter Dienst akzeptiert nur Anfragen, die begleitet sind durch ein aktuelles, gültiges App Check-Token.
Wie sicher ist App Check?
App Check stützt sich bei der Bestimmung auf die Stärke seiner Attestierungsanbieter App- oder Geräte-Authentizität. Es verhindert einige, aber nicht alle Missbrauchsvektoren, die auf Ihre Back-Ends gerichtet sind. Die Verwendung von App Check kann nicht garantieren, dass Missbrauch vollständig verhindert wird. Durch die Einbindung von App Check gehen Sie jedoch einen wichtigen Schritt in Richtung Missbrauchsschutz für Ihre Backend-Ressourcen.
In welcher Beziehung steht App Check zu Firebase Authentication?
App Check und Firebase Authentication sind ergänzende Bestandteile deiner App-Sicherheit . Firebase Authentication bietet die Nutzerauthentifizierung, die Ihre Nutzer schützt, während App Check die Authentifizierung der App- oder Geräteauthentizität bietet, was Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihr Google-Konto Back-End-Ressourcen und benutzerdefinierte Back-Ends, indem Sie festlegen, dass API-Aufrufe ein gültiges App Check Token. Diese beiden Konzepte tragen zusammen zum Schutz Ihrer App bei.
Kontingente und Limits
Die Nutzung von App Check unterliegt den Kontingenten und Limits der von Ihnen verwendeten Attestierungsanbieter.
Der Zugriff auf DeviceCheck und App Attest unterliegt allen von Apple festgelegten Kontingenten oder Einschränkungen.
Für die Standard-API-Nutzungsstufe von Play Integrity gilt ein Tageskontingent von 10.000 Aufrufen. Informationen zum Erhöhen der Nutzungsstufe finden Sie in der Play Integrity-Dokumentation.
SafetyNet hat ein tägliches Kontingent von 10.000 Anrufen. Informationen zum Anfordern einer Kontingenterhöhung finden Sie in der SafetyNet-Dokumentation.
reCAPTCHA Enterprise ist für 10.000 Bewertungen pro Monat kostenlos und bietet eine darüber hinaus die Kosten. Siehe reCAPTCHA-Preise.
Jetzt starten
Startbereit?
Apple-Plattformen
Android
Web
Flutter
C++
Einheit
Informationen zum Implementieren eines benutzerdefinierten App Check-Anbieters
Hier erfahren Sie, wie Sie mit App Check Ihre Backend-Ressourcen schützen, die nicht von Google stammen
Plattform auswählen: