Firebase App Check
App Check schützt Ihre App-Back-Ends vor Missbrauch, indem verhindert wird, dass nicht autorisierte Clients auf Ihre Backend-Ressourcen zugreifen. Es funktioniert sowohl mit Google-Diensten (einschließlich Firebase- und Google Cloud-Diensten) als auch mit Ihren eigenen benutzerdefinierten Back-Ends, um Ihre Ressourcen zu schützen.
Mit App Check verwenden Geräte, auf denen Ihre App ausgeführt wird, einen Anbieter für die App- oder Gerätebestätigung, der eines oder beides der folgenden Elemente bestätigt:
- Anfragen stammen von Ihrer authentischen App
- Anfragen stammen von einem authentischen, nicht manipulierten Gerät.
Diese Bestätigung wird an jede Anfrage angehängt, die Ihre App an die von Ihnen angegebenen APIs sendet. Wenn Sie die App Check-Erzwingung aktivieren, werden Anfragen von Clients ohne gültige Bestätigung abgelehnt. Das gilt auch für Anfragen, die von einer App oder Plattform stammen, die Sie nicht autorisiert haben.
App Check bietet integrierte Unterstützung für die Verwendung der folgenden Dienste als Attestierungsanbieter:
- DeviceCheck oder App Attest auf Apple-Plattformen
- Play Integrity auf Android-Geräten
- reCAPTCHA Enterprise in Web-Apps.
Wenn diese nicht ausreichen, können Sie auch einen eigenen Dienst implementieren, der entweder einen Drittanbieter für die Attestierung oder Ihre eigenen Attestierungstechniken verwendet.
App Check funktioniert mit den folgenden Google-Diensten:
| Unterstützte Firebase- und Google Cloud-Dienste |
|---|
| Firebase Authentication (Vorschau) |
| Firebase Data Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (nur aufrufbare Funktionen) |
| Firebase AI Logic |
| Unterstützte Google Maps Platform-Dienste |
| Maps JavaScript API (Vorabversion) |
| Places API (New) (Vorabversion) |
| Andere unterstützte Google-Dienste |
| Google Identity für iOS |
Sie können App Check auch verwenden, um Ihre benutzerdefinierten Back-End-Ressourcen zu schützen, die nicht von Google stammen, z. B. Ihr eigenes selbst gehostetes Back-End.
Funktionsweise
Wenn Sie App Check für einen Dienst aktivieren und das Client-SDK in Ihre App einbinden, geschieht Folgendes in regelmäßigen Abständen:
- Ihre App interagiert mit dem von Ihnen ausgewählten Anbieter, um eine Bestätigung der Authentizität der App oder des Geräts (oder beider, je nach Anbieter) zu erhalten.
- Die Attestierung wird an den App Check-Server gesendet, der die Gültigkeit der Attestierung anhand der für die App registrierten Parameter überprüft und ein App Check-Token mit einer Ablaufzeit an Ihre App zurückgibt. In diesem Token können einige Informationen zu den Attestierungsmaterialien enthalten sein, die damit überprüft wurden.
- Das App Check-Client-SDK speichert das Token in Ihrer App im Cache, sodass es zusammen mit allen Anfragen gesendet werden kann, die Ihre App an geschützte Dienste richtet.
Ein durch App Check geschützter Dienst akzeptiert nur Anfragen, die von einem aktuellen, gültigen App Check-Token begleitet werden.
Wie sicher ist App Check?
App Check stützt sich auf die Stärke seiner Attestierungsanbieter, um die Authentizität von Apps oder Geräten zu bestimmen. Es verhindert einige, aber nicht alle Missbrauchsmethoden, die auf Ihre Back-Ends gerichtet sind. Durch die Verwendung von App Check wird nicht garantiert, dass jeglicher Missbrauch verhindert wird. Durch die Integration von App Check unternehmen Sie jedoch einen wichtigen Schritt zum Schutz Ihrer Backend-Ressourcen vor Missbrauch.
Wie hängt App Check mit Firebase Authentication zusammen?
App Check und Firebase Authentication sind sich ergänzende Teile der Sicherheitsgeschichte Ihrer App. Firebase Authentication bietet Nutzerauthentifizierung, die Ihre Nutzer schützt, während App Check die Bestätigung der App- oder Geräteauthentizität bietet, die Sie als Entwickler schützt. App Check schützt den Zugriff auf Ihre Google-Backend-Ressourcen und benutzerdefinierten Backends, indem für API-Aufrufe ein gültiges App Check-Token erforderlich ist. Diese beiden Konzepte arbeiten zusammen, um Ihre App zu schützen.
Kontingente und Limits
Ihre Nutzung von App Check unterliegt den Kontingenten und Limits der von Ihnen verwendeten Attestierungsanbieter.
Der Zugriff auf DeviceCheck und App Attest unterliegt allen von Apple festgelegten Kontingenten oder Einschränkungen.
Für die Standard-API-Nutzungsstufe der Play Integrity API gilt ein Tageskontingent von 10.000 Aufrufen. Informationen zum Erhöhen der Nutzungsstufe finden Sie in der Play Integrity API-Dokumentation.
reCAPTCHA Enterprise ist für 10.000 Bewertungen pro Monat kostenlos. Danach fallen Kosten an. Weitere Informationen
Jetzt starten
Startbereit?
Apple-Plattformen
Android
Web
Flutter
Einheit
C++
Informationen zum Implementieren eines benutzerdefinierten App Check-Anbieters
App Check zum Schutz Ihrer benutzerdefinierten Back-End-Ressourcen verwenden
Wählen Sie Ihre Plattform aus:
iOS+ Android Web Flutter Unity C++