ตรวจสอบแอป Firebase
App Check ช่วยปกป้องทรัพยากร API ของคุณจากการละเมิดโดยป้องกันไม่ให้ไคลเอ็นต์ที่ไม่ได้รับอนุญาตเข้าถึงทรัพยากรแบ็กเอนด์ของคุณ โดยใช้งานได้กับทั้งบริการ Firebase, บริการ Google Cloud และ API ของคุณเองเพื่อรักษาทรัพยากรของคุณให้ปลอดภัย
เมื่อใช้ App Check อุปกรณ์ที่ใช้แอปของคุณจะใช้แอปหรือผู้ให้บริการรับรองอุปกรณ์ที่ยืนยันอย่างใดอย่างหนึ่งหรือทั้งสองอย่างต่อไปนี้
- คำขอมาจากแอปที่แท้จริงของคุณ
- คำขอมาจากอุปกรณ์ของแท้และไม่มีการดัดแปลง
เอกสารรับรองนี้แนบมากับทุกคำขอที่แอปของคุณทำกับ API ที่คุณระบุ เมื่อคุณเปิดใช้การบังคับใช้การตรวจสอบแอป คำขอจากไคลเอ็นต์ที่ไม่มีเอกสารรับรองที่ถูกต้องจะถูกปฏิเสธ เช่นเดียวกับคำขอใดๆ ที่มาจากแอปหรือแพลตฟอร์มที่คุณไม่ได้อนุญาต
App Check มีการสนับสนุนในตัวสำหรับการใช้บริการต่อไปนี้ในฐานะผู้ให้บริการรับรอง:
- DeviceCheck หรือ App Attest บนแพลตฟอร์ม Apple
- เล่น Integrity หรือ SafetyNet (เลิกใช้งานแล้ว) บน Android
- reCAPTCHA Enterprise บนเว็บแอป
หากสิ่งเหล่านี้ไม่เพียงพอต่อความต้องการของคุณ คุณสามารถใช้บริการของคุณเองที่ใช้ผู้ให้บริการรับรองบุคคลที่สามหรือเทคนิคการรับรองของคุณเองได้
ปัจจุบัน App Check ใช้งานได้กับผลิตภัณฑ์ Firebase ต่อไปนี้
| ผลิตภัณฑ์ Firebase ที่รองรับ |
|---|
| ฐานข้อมูลเรียลไทม์ |
| คลาวด์ไฟร์สโตร์ |
| การจัดเก็บเมฆ |
| ฟังก์ชั่นคลาวด์ (ฟังก์ชั่นที่สามารถเรียกได้) |
| การตรวจสอบสิทธิ์ (เบต้า ต้องอัปเกรดเป็น Firebase Authentication ด้วย Identity Platform ) |
คุณยังใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase ได้ด้วย
พร้อมที่จะเริ่มต้นหรือยัง?
มันทำงานอย่างไร?
เมื่อคุณเปิดใช้ App Check สำหรับบริการและรวม SDK ไคลเอ็นต์ไว้ในแอป สิ่งต่อไปนี้จะเกิดขึ้นเป็นระยะๆ
- แอปของคุณโต้ตอบกับผู้ให้บริการที่คุณเลือกเพื่อรับการรับรองความถูกต้องของแอปหรืออุปกรณ์ (หรือทั้งสองอย่าง ขึ้นอยู่กับผู้ให้บริการ)
- เอกสารรับรองจะถูกส่งไปยังเซิร์ฟเวอร์ App Check ซึ่งจะตรวจสอบความถูกต้องของเอกสารรับรองโดยใช้พารามิเตอร์ที่ลงทะเบียนกับแอป และส่งคืนโทเค็น App Check ให้กับแอปพร้อมเวลาหมดอายุ โทเค็นนี้อาจเก็บข้อมูลบางอย่างเกี่ยวกับเอกสารรับรองที่ตรวจสอบแล้ว
- SDK ไคลเอ็นต์ App Check จะแคชโทเค็นในแอปของคุณ ซึ่งพร้อมที่จะส่งไปพร้อมกับคำขอใดๆ ที่แอปของคุณสร้างไปยังบริการที่มีการป้องกัน
บริการที่ได้รับการคุ้มครองโดย App Check จะยอมรับเฉพาะคำขอที่มาพร้อมกับโทเค็น App Check ที่ถูกต้องในปัจจุบันเท่านั้น
การรักษาความปลอดภัยที่ได้รับจาก App Check นั้นแข็งแกร่งแค่ไหน?
App Check อาศัยความแข็งแกร่งของผู้ให้บริการรับรองเพื่อระบุความถูกต้องของแอปหรืออุปกรณ์ โดยจะป้องกันเวกเตอร์การละเมิดบางส่วน แต่ไม่ใช่ทั้งหมดที่มุ่งตรงไปยังแบ็กเอนด์ของคุณ การใช้ App Check ไม่ได้รับประกันว่าการละเมิดทั้งหมดจะหมดไป แต่ด้วยการผสานรวมกับ App Check คุณกำลังดำเนินการขั้นตอนสำคัญในการป้องกันการละเมิดทรัพยากรแบ็กเอนด์ของคุณ
App Check เกี่ยวข้องกับ Firebase Authentication อย่างไร
App Check และ Firebase Authentication เป็นส่วนเสริมของเรื่องราวความปลอดภัยของแอปของคุณ การตรวจสอบสิทธิ์ Firebase ให้การตรวจสอบสิทธิ์ผู้ใช้ ซึ่งปกป้องผู้ใช้ของคุณ ในขณะที่ App Check ให้การรับรองความถูกต้องของแอปหรืออุปกรณ์ ซึ่งช่วยปกป้องคุณซึ่งเป็นนักพัฒนาซอฟต์แวร์ App Check ปกป้องการเข้าถึงทรัพยากร Firebase และแบ็กเอนด์ที่กำหนดเองโดยกำหนดให้มีการเรียก API เพื่อให้มีโทเค็น Firebase App Check ที่ถูกต้อง แนวคิดทั้งสองนี้ทำงานร่วมกันเพื่อช่วยรักษาความปลอดภัยให้กับแอปของคุณ
โควต้าและขีดจำกัด
การใช้ App Check ของคุณขึ้นอยู่กับโควต้าและขีดจำกัดของผู้ให้บริการรับรองที่คุณใช้
การเข้าถึง DeviceCheck และ App Attest ขึ้นอยู่กับโควต้าหรือข้อจำกัดใดๆ ที่กำหนดโดย Apple
Play Integrity มีโควต้าการเรียกใช้ 10,000 ครั้งต่อวันสำหรับระดับการใช้งาน Standard API สำหรับข้อมูลเกี่ยวกับการเพิ่มระดับการใช้งานของคุณ โปรดดู เอกสาร Play Integrity
SafetyNet มีโควต้าการโทร 10,000 ครั้งต่อวัน สำหรับข้อมูลเกี่ยวกับการขอเพิ่มโควต้า โปรดดู เอกสารประกอบของ SafetyNet
reCAPTCHA Enterprise ไม่มีค่าใช้จ่ายสำหรับการโทร 1 ล้านครั้งต่อเดือน และมีค่าใช้จ่ายเกินกว่านั้น ดู ราคา reCAPTCHA Enterprise
เริ่ม
พร้อมที่จะเริ่มต้นหรือยัง?
แพลตฟอร์มของ Apple
หุ่นยนต์
เว็บ
กระพือปีก
ซี++
ความสามัคคี
เรียนรู้วิธีใช้งานผู้ให้บริการ App Check ที่กำหนดเอง:
เรียนรู้วิธีใช้ App Check เพื่อปกป้องทรัพยากรแบ็กเอนด์ที่ไม่ใช่ Firebase ของคุณ: