Kiểm tra ứng dụng Firebase
Kiểm tra ứng dụng giúp bảo vệ tài nguyên API của bạn khỏi bị lạm dụng bằng cách ngăn không cho khách hàng trái phép truy cập vào tài nguyên phụ trợ của bạn. Nó hoạt động với cả dịch vụ Firebase, dịch vụ Google Cloud và API của riêng bạn để giữ an toàn cho tài nguyên của bạn.
Với Kiểm tra ứng dụng, các thiết bị chạy ứng dụng của bạn sẽ sử dụng nhà cung cấp chứng thực ứng dụng hoặc thiết bị chứng thực một hoặc cả hai điều sau:
- Yêu cầu bắt nguồn từ ứng dụng xác thực của bạn
- Yêu cầu bắt nguồn từ một thiết bị xác thực, không bị giả mạo
Chứng thực này được đính kèm với mọi yêu cầu mà ứng dụng của bạn đưa ra đối với các API mà bạn chỉ định. Khi bạn bật thực thi Kiểm tra ứng dụng, các yêu cầu từ khách hàng không có chứng thực hợp lệ sẽ bị từ chối, cũng như bất kỳ yêu cầu nào bắt nguồn từ một ứng dụng hoặc nền tảng mà bạn chưa cho phép.
Kiểm tra ứng dụng có hỗ trợ tích hợp để sử dụng các dịch vụ sau với tư cách là nhà cung cấp chứng thực:
- DeviceCheck hoặc App Attest trên nền tảng Apple
- Chơi Integrity hoặc SafetyNet (không dùng nữa) trên Android
- reCAPTCHA v3 hoặc reCAPTCHA Enterprise trên ứng dụng web
Nếu những điều này không đủ cho nhu cầu của bạn, bạn cũng có thể triển khai dịch vụ của riêng mình sử dụng nhà cung cấp chứng thực bên thứ ba hoặc kỹ thuật chứng thực của riêng bạn.
Kiểm tra ứng dụng hiện hoạt động với các sản phẩm Firebase sau:
| Các sản phẩm Firebase được hỗ trợ |
|---|
| Cơ sở dữ liệu thời gian thực |
| Cửa hàng lửa trên đám mây |
| Lưu trữ đám mây |
| Chức năng đám mây (chức năng có thể gọi) |
| Xác thực (beta; yêu cầu nâng cấp lên Xác thực Firebase với Nền tảng nhận dạng ) |
Bạn cũng có thể sử dụng Kiểm tra ứng dụng để bảo vệ tài nguyên phụ trợ không phải Firebase của mình.
Sẵn sàng để bắt đầu?
Làm thế nào nó hoạt động?
Khi bạn bật Kiểm tra ứng dụng cho một dịch vụ và đưa SDK ứng dụng khách vào ứng dụng của mình, điều sau đây sẽ xảy ra theo định kỳ:
- Ứng dụng của bạn tương tác với nhà cung cấp mà bạn chọn để lấy chứng thực về tính xác thực của ứng dụng hoặc thiết bị (hoặc cả hai, tùy thuộc vào nhà cung cấp).
- Chứng thực được gửi đến máy chủ Kiểm tra ứng dụng. Máy chủ này sẽ xác minh tính hợp lệ của chứng thực bằng cách sử dụng các tham số đã đăng ký với ứng dụng và trả lại cho ứng dụng của bạn mã thông báo Kiểm tra ứng dụng với thời gian hết hạn. Mã thông báo này có thể giữ lại một số thông tin về tài liệu chứng thực mà nó đã xác minh.
- SDK máy khách Kiểm tra ứng dụng lưu mã thông báo vào bộ nhớ đệm trong ứng dụng của bạn, sẵn sàng để gửi cùng với bất kỳ yêu cầu nào mà ứng dụng của bạn đưa ra đối với các dịch vụ được bảo vệ.
Một dịch vụ được bảo vệ bởi Kiểm tra ứng dụng chỉ chấp nhận các yêu cầu kèm theo mã thông báo Kiểm tra ứng dụng hợp lệ, hiện tại.
Tính bảo mật do Kiểm tra ứng dụng cung cấp mạnh đến mức nào?
Kiểm tra ứng dụng dựa vào sức mạnh của các nhà cung cấp chứng thực để xác định tính xác thực của ứng dụng hoặc thiết bị. Nó ngăn chặn một số, nhưng không phải tất cả, các vectơ lạm dụng hướng tới các phần phụ trợ của bạn. Sử dụng Kiểm tra ứng dụng không đảm bảo loại bỏ mọi hành vi lạm dụng, nhưng bằng cách tích hợp với Kiểm tra ứng dụng, bạn đang thực hiện một bước quan trọng để bảo vệ khỏi hành vi lạm dụng đối với các tài nguyên phụ trợ của mình.
Kiểm tra ứng dụng liên quan như thế nào đến Xác thực Firebase?
Kiểm tra ứng dụng và Xác thực Firebase là những phần bổ sung cho câu chuyện bảo mật ứng dụng của bạn. Xác thực Firebase cung cấp xác thực người dùng để bảo vệ người dùng của bạn, trong khi Kiểm tra ứng dụng cung cấp chứng thực về tính xác thực của ứng dụng hoặc thiết bị để bảo vệ bạn, nhà phát triển. Kiểm tra ứng dụng bảo vệ quyền truy cập vào tài nguyên Firebase và phụ trợ tùy chỉnh của bạn bằng cách yêu cầu các lệnh gọi API chứa mã thông báo Kiểm tra ứng dụng Firebase hợp lệ. Hai khái niệm này hoạt động cùng nhau để giúp bảo mật ứng dụng của bạn.
Hạn ngạch & giới hạn
Việc bạn sử dụng Kiểm tra ứng dụng phải tuân theo hạn ngạch và giới hạn của các nhà cung cấp chứng thực mà bạn sử dụng.
Quyền truy cập Kiểm tra thiết bị và Chứng thực ứng dụng phải tuân theo bất kỳ hạn ngạch hoặc giới hạn nào do Apple đặt ra.
Play Integrity có hạn ngạch hàng ngày là 10.000 lệnh gọi cho bậc sử dụng API tiêu chuẩn. Để biết thông tin về cách nâng bậc sử dụng của bạn, hãy xem tài liệu về Tính toàn vẹn của Play .
SafetyNet có hạn ngạch hàng ngày là 10.000 cuộc gọi. Để biết thông tin về yêu cầu tăng hạn ngạch, hãy xem tài liệu về SafetyNet .
reCAPTCHA v3 có hạn ngạch hàng tháng là 1 triệu cuộc gọi, cũng như giới hạn 1.000 QPS. Để biết thông tin về yêu cầu tăng hạn ngạch, hãy xem tài liệu reCAPTCHA .
reCAPTCHA Enterprise miễn phí cho 1 triệu cuộc gọi mỗi tháng và với chi phí cao hơn thế. Xem định giá reCAPTCHA Enterprise .
Bắt đầu
Sẵn sàng để bắt đầu?
nền tảng của Apple
Chứng thực ứng dụng DeviceCheck
Android
mạng
reCAPTCHA v3 doanh nghiệp reCAPTCHA
Chớp cánh
C++
Đoàn kết
Tìm hiểu cách triển khai nhà cung cấp Kiểm tra ứng dụng tùy chỉnh:
Tìm hiểu cách sử dụng Kiểm tra ứng dụng để bảo vệ tài nguyên phụ trợ không phải Firebase của bạn: