Firebase App Check

App Check membantu melindungi resource API Anda dari penyalahgunaan dengan mencegah klien yang tidak berkepentingan mengakses resource backend Anda. App Check berfungsi dengan layanan Firebase, layanan Google Cloud, dan API Anda sendiri untuk menjaga keamanan resource.

Dengan App Check, perangkat yang menjalankan aplikasi Anda akan menggunakan penyedia pengesahan aplikasi atau perangkat yang menyatakan salah satu atau kedua hal berikut:

  • Permintaan berasal dari aplikasi asli milik Anda
  • Permintaan berasal dari perangkat asli yang tidak dimodifikasi

Pengesahan ini dilampirkan untuk setiap permintaan yang dibuat aplikasi Anda ke API yang Anda tentukan. Saat Anda mengaktifkan penerapan App Check, permintaan dari klien tanpa pengesahan yang valid akan ditolak, begitu juga permintaan yang berasal dari aplikasi atau platform yang belum Anda beri otorisasi.

App Check memiliki dukungan bawaan untuk menggunakan layanan berikut sebagai penyedia pengesahan:

Jika layanan ini tidak memadai untuk kebutuhan Anda, Anda juga dapat menerapkan layanan lain yang menggunakan penyedia pengesahan pihak ketiga atau teknik pengesahan Anda sendiri.

App Check saat ini berfungsi dengan produk Firebase berikut:

Produk Firebase yang didukung
Realtime Database
Cloud Firestore
Cloud Storage
Cloud Functions (fungsi callable)
Authentication (beta; memerlukan upgrade ke Firebase Authentication dengan Identity Platform)

Anda juga dapat menggunakan App Check untuk melindungi resource backend non-Firebase.

Siap untuk memulai?

Memulai

Bagaimana caranya?

Saat Anda mengaktifkan App Check untuk layanan dan menyertakan SDK klien di aplikasi Anda, hal berikut akan terjadi secara berkala:

  1. Aplikasi berinteraksi dengan penyedia pilihan Anda untuk mendapatkan pengesahan keaslian aplikasi atau perangkat (atau keduanya, bergantung pada penyedia).
  2. Pengesahan dikirimkan ke server App Check, yang memverifikasi validitas pengesahan menggunakan parameter yang terdaftar pada aplikasi, dan menampilkan token App Check dengan masa berlaku ke aplikasi Anda. Token ini mungkin menyimpan beberapa informasi tentang materi pengesahan yang diverifikasinya.
  3. SDK klien App Check meng-cache token di aplikasi Anda, yang siap dikirim beserta permintaan apa pun yang diajukan aplikasi ke layanan yang dilindungi.

Layanan yang dilindungi oleh App Check hanya menerima permintaan yang disertai dengan token App Check terbaru yang valid.

Seberapa kuat keamanan yang diberikan oleh App Check?

App Check bergantung pada keandalan penyedia pengesahannya untuk menentukan keaslian aplikasi atau perangkat. Fitur ini mencegah beberapa, tetapi tidak semua, vektor penyalahgunaan yang diarahkan ke backend Anda. Penggunaan App Check tidak menjamin penghapusan semua penyalahgunaan. Namun, dengan mengintegrasikan App Check, Anda mengambil langkah penting untuk melindungi resource backend Anda dari penyalahgunaan.

App Check dan Firebase Authentication melengkapi metode keamanan aplikasi Anda. Firebase Authentication menyediakan autentikasi pengguna untuk melindungi pengguna Anda, sementara App Check memberikan pengesahan keaslian aplikasi atau perangkat guna melindungi Anda sebagai developer. App Check melindungi akses ke resource Firebase dan backend kustom Anda dengan mewajibkan panggilan API untuk berisi token Firebase App Check yang valid. Kedua konsep ini bekerja sama untuk membantu mengamankan aplikasi Anda.

Kuota & batas

Penggunaan Anda atas App Check bergantung pada kuota dan batas penyedia pengesahan yang Anda gunakan.

  • Akses DeviceCheck dan App Attest tunduk pada kuota atau batasan yang ditetapkan oleh Apple.

  • Play Integrity memiliki kuota harian sebanyak 10.000 panggilan untuk tingkat penggunaan API Standarnya. Untuk mengetahui informasi tentang cara meningkatkan tingkat penggunaan, lihat dokumentasi Play Integrity.

  • SafetyNet memiliki kuota harian sebanyak 10.000 panggilan. Untuk mengetahui informasi mengenai cara meminta penambahan kuota, lihat dokumentasi SafetyNet.

  • reCAPTCHA Enterprise tidak dikenai biaya untuk 1 juta panggilan per bulan, dan dikenai biaya untuk jumlah panggilan lebih dari itu. Lihat harga reCAPTCHA Enterprise.

Memulai

Siap untuk memulai?

Platform Apple

DeviceCheck App Attest

Android

Play Integrity

Web

reCAPTCHA Enterprise

Flutter

Penyedia default

C++

Penyedia default

Unity

Penyedia default

Pelajari cara menerapkan penyedia App Check kustom:

Penyedia kustom

Pelajari cara menggunakan App Check untuk melindungi resource backend non-Firebase:

iOS+ Android Web Flutter