การตรวจสอบแอป Firebase
App Check ช่วยปกป้องทรัพยากร API ของคุณจากการละเมิดโดยป้องกันไม่ให้ไคลเอนต์ที่ไม่ได้รับอนุญาตเข้าถึงทรัพยากรแบ็กเอนด์ของคุณ ทำงานร่วมกับทั้งบริการ Firebase, บริการ Google Cloud และ API ของคุณเองเพื่อรักษาทรัพยากรของคุณให้ปลอดภัย
เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปของคุณจะใช้แอปหรือผู้ให้บริการรับรองอุปกรณ์ที่รับรองสิ่งใดสิ่งหนึ่งหรือทั้งสองอย่างต่อไปนี้:
- คำขอมาจากแอปจริงของคุณ
- คำขอมาจากอุปกรณ์จริงที่ไม่ได้ดัดแปลง
เอกสารรับรองนี้แนบมากับทุกคำขอที่แอปของคุณส่งไปยัง API ที่คุณระบุ เมื่อคุณเปิดใช้งานการบังคับใช้การตรวจสอบแอป คำขอจากลูกค้าที่ไม่มีการรับรองที่ถูกต้องจะถูกปฏิเสธ เช่นเดียวกับคำขอใดๆ ที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้อนุญาต
App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้ในฐานะผู้ให้บริการรับรอง:
- DeviceCheck หรือ App Attest บนแพลตฟอร์มของ Apple
- เล่น Integrity หรือ SafetyNet (เลิกใช้แล้ว) บน Android
- reCAPTCHA v3 หรือ reCAPTCHA Enterprise บนเว็บแอป
หากสิ่งเหล่านี้ไม่เพียงพอสำหรับความต้องการของคุณ คุณยังสามารถใช้บริการของคุณเองโดยใช้ผู้ให้บริการรับรองบุคคลที่สามหรือเทคนิคการรับรองของคุณเอง
ขณะนี้ App Check ใช้งานได้กับผลิตภัณฑ์ Firebase ต่อไปนี้
ผลิตภัณฑ์ Firebase ที่รองรับ |
---|
ฐานข้อมูลเรียลไทม์ |
Cloud Firestore |
การจัดเก็บเมฆ |
ฟังก์ชันคลาวด์ (ฟังก์ชันที่เรียกได้) |
การตรวจสอบสิทธิ์ (เบต้า ต้องอัปเกรดเป็น Firebase Authentication ด้วย Identity Platform ) |
คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase ได้อีกด้วย
พร้อมที่จะเริ่มต้นหรือยัง
มันทำงานอย่างไร?
เมื่อคุณเปิดใช้ App Check สำหรับบริการและรวมไคลเอ็นต์ SDK ในแอปของคุณ สิ่งต่อไปนี้จะเกิดขึ้นเป็นระยะ:
- แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อรับการรับรองความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้งสองอย่าง ขึ้นอยู่กับผู้ให้บริการ)
- การรับรองจะถูกส่งไปยังเซิร์ฟเวอร์ App Check ซึ่งจะตรวจสอบความถูกต้องของการรับรองโดยใช้พารามิเตอร์ที่ลงทะเบียนกับแอป และส่งคืนโทเค็น App Check พร้อมเวลาหมดอายุให้กับแอปของคุณ โทเค็นนี้อาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรองที่ตรวจสอบแล้ว
- SDK ไคลเอนต์ App Check แคชโทเค็นในแอปของคุณ พร้อมที่จะส่งไปพร้อมกับคำขอใดๆ ที่แอปของคุณส่งไปยังบริการที่ได้รับการปกป้อง
บริการที่ได้รับการปกป้องโดย App Check จะยอมรับเฉพาะคำขอที่มาพร้อมกับโทเค็น App Check ที่ถูกต้องในปัจจุบันเท่านั้น
App Check มีความปลอดภัยสูงเพียงใด
การตรวจสอบแอปอาศัยความแข็งแกร่งของผู้ให้บริการรับรองเพื่อระบุความถูกต้องของแอปหรืออุปกรณ์ มันป้องกันพาหะในทางที่ผิดบางส่วน แต่ไม่ใช่ทั้งหมดที่มุ่งไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่าจะกำจัดการละเมิดทั้งหมด แต่ด้วยการรวมเข้ากับ App Check คุณกำลังก้าวไปสู่ขั้นตอนสำคัญในการป้องกันการละเมิดสำหรับทรัพยากรแบ็กเอนด์ของคุณ
App Check เกี่ยวข้องกับ Firebase Authentication อย่างไร?
การตรวจสอบแอปและการตรวจสอบสิทธิ์ Firebase เป็นส่วนเสริมของเรื่องราวความปลอดภัยของแอป Firebase Authentication ให้การรับรองความถูกต้องของผู้ใช้ ซึ่งจะปกป้องผู้ใช้ของคุณ ในขณะที่ App Check ให้การรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งจะปกป้องคุณซึ่งเป็นนักพัฒนาซอฟต์แวร์ App Check ปกป้องการเข้าถึงทรัพยากร Firebase และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้การเรียก API ต้องมีโทเค็น Firebase App Check ที่ถูกต้อง แนวคิดทั้งสองนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้แอปของคุณ
โควต้าและขีดจำกัด
การใช้ App Check ของคุณขึ้นอยู่กับโควต้าและขีดจำกัดของผู้ให้บริการรับรองที่คุณใช้
การเข้าถึง DeviceCheck และ App Attest อยู่ภายใต้โควต้าหรือข้อจำกัดใดๆ ที่กำหนดโดย Apple
Play Integrity มีโควต้าการเรียกใช้ 10,000 ครั้งต่อวันสำหรับระดับการใช้งาน Standard API สำหรับข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งาน โปรดดู เอกสารประกอบ Play Integrity
SafetyNet มีโควต้าการโทร 10,000 ครั้งต่อวัน สำหรับข้อมูลเกี่ยวกับการขอเพิ่มโควต้า โปรดดู เอกสารประกอบของ SafetyNet
reCAPTCHA v3 มีโควต้าการโทร 1 ล้านครั้งต่อเดือน และขีดจำกัด 1,000 QPS สำหรับข้อมูลเกี่ยวกับการขอเพิ่มโควต้า โปรดดู เอกสาร reCAPTCHA
reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการโทร 1 ล้านครั้งต่อเดือน และมีค่าใช้จ่ายนอกเหนือจากนั้น ดู ราคา reCAPTCHA Enterprise
เริ่ม
พร้อมที่จะเริ่มต้นหรือยัง
แพลตฟอร์มของ Apple
แอนดรอยด์
เว็บ
กระพือ
ภาษาซี++
ความสามัคคี
เรียนรู้วิธีใช้ผู้ให้บริการ App Check แบบกำหนดเอง:
เรียนรู้วิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase: