Firebase App Check
App Check pomaga chronić zaplecze aplikacji przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów zaplecza. Działa zarówno z usługami Google (w tym Firebase i usługami Google Cloud), jak i z Twoimi własnymi backendami, aby chronić Twoje zasoby.
W przypadku App Check urządzenia, na których działa Twoja aplikacja, będą korzystać z dostawcy atestu aplikacji lub urządzenia, który potwierdza co najmniej jedno z tych stwierdzeń:
- Żądania pochodzą z autentycznej aplikacji
- Żądania pochodzą z autentycznego, niezmodyfikowanego urządzenia.
To zaświadczenie jest dołączane do każdego żądania wysyłanego przez aplikację do określonych przez Ciebie interfejsów API. Gdy włączysz wymuszanie App Check, żądania od klientów bez prawidłowego zaświadczenia zostaną odrzucone. Dotyczy to też żądań pochodzących z aplikacji lub platform, które nie zostały przez Ciebie autoryzowane.
App Check ma wbudowaną obsługę tych usług jako dostawców atestów:
- DeviceCheck lub App Attest na platformach Apple
- Play Integrity na Androidzie
- reCAPTCHA Enterprise w aplikacjach internetowych.
Jeśli to nie wystarczy, możesz też wdrożyć własną usługę, która korzysta z zewnętrznego dostawcy atestów lub własnych technik atestowania.
App Check współpracuje z tymi usługami Google:
| Obsługiwane usługi Firebase i Google Cloud |
|---|
| Firebase Authentication (wersja przedpremierowa) |
| Firebase Data Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (tylko funkcje wywoływane) |
| Firebase AI Logic |
| Obsługiwane usługi Google Maps Platform |
| Maps JavaScript API (wersja zapoznawcza) |
| Places API (nowość) (wersja zapoznawcza) |
| Inne obsługiwane usługi Google |
| Tożsamość Google w systemie iOS |
Możesz też użyć App Check do ochrony zasobów niestandardowego backendu innych niż Google, np. własnego backendu hostowanego samodzielnie.
Jak to działa?
Gdy włączysz App Check w przypadku usługi i uwzględnisz w aplikacji pakiet SDK klienta, okresowo będą wykonywane te czynności:
- Aplikacja komunikuje się z wybranym dostawcą, aby uzyskać atest potwierdzający autentyczność aplikacji lub urządzenia (lub obu tych elementów, w zależności od dostawcy).
- Zaświadczenie jest wysyłane na serwer App Check, który weryfikuje jego ważność za pomocą parametrów zarejestrowanych w aplikacji i zwraca do niej token App Check z czasem wygaśnięcia. Ten token może przechowywać pewne informacje o zweryfikowanych materiałach atestacyjnych.
- Pakiet SDK klienta App Check buforuje token w aplikacji, aby można go było wysłać wraz z każdym żądaniem, które aplikacja wysyła do chronionych usług.
Usługa chroniona przez App Check akceptuje tylko żądania, którym towarzyszy aktualny, ważny token App Check.
Jak silne zabezpieczenia zapewnia App Check?
App Check polega na wiarygodności dostawców atestów, aby określić autentyczność aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim wektorom nadużyć skierowanym do Twoich backendów. Korzystanie z usługi App Check nie gwarantuje wyeliminowania wszystkich nadużyć, ale dzięki integracji z nią podejmujesz ważny krok w kierunku ochrony zasobów backendu przed nadużyciami.App Check
Jak App Check jest powiązane z Firebase Authentication?
App Check i Firebase Authentication to uzupełniające się elementy informacji o bezpieczeństwie aplikacji. Firebase Authentication zapewnia uwierzytelnianie użytkowników, które chroni Twoich użytkowników, a App Check zapewnia atestowanie autentyczności aplikacji lub urządzenia, które chroni Ciebie, dewelopera. App Check chroni dostęp do zasobów backendu Google i niestandardowych backendów, wymagając, aby wywołania interfejsu API zawierały prawidłowy token App Check. Te 2 koncepcje współdziałają ze sobą, aby pomóc Ci zabezpieczyć aplikację.
Limity
Korzystanie z App Check podlega limitom i ograniczeniom dostawców atestów, z których korzystasz.
Dostęp do DeviceCheck i App Attest podlega limitom lub ograniczeniom określonym przez Apple.
W przypadku standardowego wykorzystania interfejsu API usługa Play Integrity ma dzienny limit 10 tys. wywołań. Informacje o podniesieniu kategorii wykorzystania znajdziesz w dokumentacji interfejsu Play Integrity API.
reCAPTCHA Enterprise jest bezpłatna w przypadku 10 tys. testów miesięcznie, a po przekroczeniu tego limitu obowiązują opłaty. Zobacz cennik reCAPTCHA.
Rozpocznij
Chcesz rozpocząć?
Platformy Apple
Android
Sieć
Flutter
Unity
C++
Dowiedz się, jak wdrożyć niestandardowego dostawcę App Check
Dowiedz się, jak używać App Check do ochrony zasobów backendu niestandardowego
Wybierz platformę:
iOS+ Android Web Flutter Unity C++