Kontrola aplikacji Firebase
Kontrola aplikacji pomaga chronić zasoby API przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów zaplecza. Współpracuje zarówno z usługami Firebase, usługami Google Cloud, jak i Twoimi własnymi interfejsami API, aby zapewnić bezpieczeństwo Twoich zasobów.
Dzięki Sprawdzaniu aplikacji urządzenia, na których działa Twoja aplikacja, będą korzystać z aplikacji lub dostawcy atestów urządzeń, który poświadcza jeden lub oba z poniższych warunków:
- Żądania pochodzą z Twojej autentycznej aplikacji
- Żądania pochodzą z autentycznego, nienaruszonego urządzenia
To zaświadczenie jest dołączane do każdego żądania wysyłanego przez Twoją aplikację do określonych interfejsów API. Po włączeniu wymuszania Sprawdzania aplikacji żądania od klientów bez ważnego zaświadczenia będą odrzucane, podobnie jak wszelkie żądania pochodzące z aplikacji lub platformy, której nie autoryzowałeś.
App Check ma wbudowaną obsługę korzystania z następujących usług jako dostawców atestów:
- DeviceCheck lub App Attest na platformach Apple
- Zagraj w Integrity lub SafetyNet (przestarzałe) na Androidzie
- reCAPTCHA Enterprise w aplikacjach internetowych.
Jeśli są one niewystarczające dla Twoich potrzeb, możesz także wdrożyć własną usługę, która korzysta z zewnętrznego dostawcy atestów lub własnych technik atestacji.
Sprawdzanie aplikacji działa obecnie z następującymi produktami Firebase:
Obsługiwane produkty Firebase |
---|
Baza danych czasu rzeczywistego |
Chmura Firestore |
Magazyn w chmurze |
Funkcje chmury (funkcje wywoływalne) |
Uwierzytelnianie (beta; wymaga aktualizacji do uwierzytelniania Firebase z platformą tożsamości ) |
Możesz także użyć Sprawdzania aplikacji, aby chronić zasoby zaplecza inne niż Firebase.
Gotowy żeby zacząć?
Jak to działa?
Po włączeniu Sprawdzania aplikacji dla usługi i dołączeniu pakietu SDK klienta do aplikacji okresowo mają miejsce następujące zdarzenia:
- Twoja aplikacja wchodzi w interakcję z wybranym dostawcą w celu uzyskania potwierdzenia autentyczności aplikacji lub urządzenia (lub obu, w zależności od dostawcy).
- Zaświadczenie wysyłane jest do serwera App Check, który weryfikuje ważność zaświadczenia przy użyciu parametrów zarejestrowanych w aplikacji i zwraca do Twojej aplikacji token App Check z datą ważności. Token ten może przechowywać pewne informacje na temat zweryfikowanego materiału atestacyjnego.
- Pakiet SDK klienta App Check buforuje token w Twojej aplikacji i jest gotowy do wysłania wraz z wszelkimi żądaniami wysyłanymi przez aplikację do chronionych usług.
Usługa chroniona przez Sprawdzanie aplikacji akceptuje wyłącznie żądania z aktualnym, ważnym tokenem sprawdzania aplikacji.
Jak silne jest bezpieczeństwo zapewniane przez App Check?
App Check opiera się na sile swoich dostawców atestów w celu ustalenia autentyczności aplikacji lub urządzenia. Zapobiega niektórym, ale nie wszystkim, wektorom nadużyć skierowanych w stronę backendów. Korzystanie z Kontroli aplikacji nie gwarantuje wyeliminowania wszystkich nadużyć, ale integrując się z Kontrolą aplikacji, robisz ważny krok w kierunku ochrony zasobów backendu przed nadużyciami.
W jaki sposób Sprawdzanie aplikacji jest powiązane z uwierzytelnianiem Firebase?
Sprawdzanie aplikacji i uwierzytelnianie Firebase to uzupełniające się części historii bezpieczeństwa Twojej aplikacji. Uwierzytelnianie Firebase zapewnia uwierzytelnianie użytkownika, które chroni Twoich użytkowników, podczas gdy App Check zapewnia poświadczenie autentyczności aplikacji lub urządzenia, co chroni Ciebie, programistę. App Check chroni dostęp do zasobów Firebase i niestandardowych backendów, wymagając, aby wywołania API zawierały prawidłowy token Firebase App Check. Te dwie koncepcje współpracują ze sobą, aby pomóc zabezpieczyć aplikację.
Kwoty i limity
Korzystanie z App Check podlega przydziałom i limitom dostawców atestów, z których korzystasz.
Dostęp do funkcji DeviceCheck i App Attest podlega przydziałom i ograniczeniom ustalonym przez firmę Apple.
Play Integrity ma dzienny limit 10 000 połączeń w ramach standardowego poziomu wykorzystania interfejsu API. Informacje na temat podnoszenia poziomu wykorzystania znajdziesz w dokumentacji dotyczącej uczciwości gry .
SafetyNet ma dzienny limit 10 000 połączeń. Informacje na temat składania wniosków o zwiększenie limitu można znaleźć w dokumentacji SafetyNet .
reCAPTCHA Enterprise jest bezpłatna w przypadku 1 miliona połączeń miesięcznie, a poza tym jest płatna. Zobacz cennik reCAPTCHA Enterprise .
Zaczynaj
Gotowy żeby zacząć?
Platformy Apple
Certyfikat aplikacji DeviceCheck
Android
Sieć
Trzepotanie
C++
Jedność
Dowiedz się, jak wdrożyć niestandardowego dostawcę sprawdzania aplikacji:
Dowiedz się, jak używać Sprawdzania aplikacji, aby chronić zasoby backendu inne niż Firebase:
Trzepot sieci w systemie iOS+ Android