Join us for Firebase Summit on November 10, 2021. Tune in to learn how Firebase can help you accelerate app development, release with confidence, and scale with ease. Register

Kiểm tra ứng dụng Firebase

Kiểm tra ứng dụng giúp bảo vệ tài nguyên phụ trợ của bạn khỏi bị lạm dụng, chẳng hạn như gian lận thanh toán và lừa đảo. Nó hoạt động với cả các dịch vụ Firebase và phần phụ trợ của riêng bạn để giữ an toàn cho tài nguyên của bạn.

Với Kiểm tra ứng dụng, các thiết bị chạy ứng dụng của bạn sẽ sử dụng ứng dụng hoặc nhà cung cấp chứng thực thiết bị chứng thực một hoặc cả hai điều sau:

  • Yêu cầu bắt nguồn từ ứng dụng đích thực của bạn
  • Yêu cầu bắt nguồn từ một thiết bị xác thực, chưa được kiểm tra

Chứng thực này được đính kèm với mọi yêu cầu mà ứng dụng của bạn đưa ra đối với tài nguyên phụ trợ Firebase của bạn.

Kiểm tra ứng dụng có hỗ trợ tích hợp để sử dụng các dịch vụ sau với tư cách là nhà cung cấp chứng thực:

Nếu những điều này không đủ cho nhu cầu của bạn, bạn cũng có thể triển khai dịch vụ của riêng mình bằng cách sử dụng nhà cung cấp chứng thực bên thứ ba hoặc các kỹ thuật chứng thực của riêng bạn.

Kiểm tra ứng dụng hiện hoạt động với các sản phẩm Firebase sau:

  • Cơ sở dữ liệu thời gian thực
  • Lưu trữ đám mây
  • Chức năng đám mây (chức năng có thể gọi)

Bắt đầu với DeviceCheck trên iOS Bắt đầu với App chứng thực trên iOS

Bắt đầu trên Android

Bắt đầu trên các ứng dụng web

Bạn cũng có thể sử dụng Kiểm tra ứng dụng để bảo vệ các tài nguyên phụ trợ không phải Firebase của mình:

iOS Android Web

Làm thế nào nó hoạt động?

Khi bạn bật Kiểm tra ứng dụng cho một dịch vụ và bao gồm SDK ứng dụng khách trong ứng dụng của mình, những điều sau đây sẽ xảy ra theo định kỳ:

  1. Ứng dụng của bạn tương tác với nhà cung cấp mà bạn chọn để có được chứng thực về tính xác thực của ứng dụng hoặc thiết bị (hoặc cả hai, tùy thuộc vào nhà cung cấp).
  2. Chứng thực được gửi đến máy chủ Kiểm tra ứng dụng, máy chủ này sẽ xác minh tính hợp lệ của chứng thực bằng cách sử dụng các thông số đã đăng ký với ứng dụng và trả về ứng dụng của bạn mã thông báo Kiểm tra ứng dụng với thời gian hết hạn. Mã thông báo này có thể giữ lại một số thông tin về tài liệu chứng thực mà nó đã xác minh.
  3. SDK ứng dụng Kiểm tra ứng dụng lưu vào bộ nhớ cache mã thông báo trong ứng dụng của bạn, sẵn sàng được gửi cùng với bất kỳ yêu cầu nào mà ứng dụng của bạn đưa ra đối với các dịch vụ được bảo vệ.

Dịch vụ được App Check bảo vệ chỉ chấp nhận các yêu cầu kèm theo mã thông báo App Check hợp lệ, hiện tại.

Mức độ bảo mật được cung cấp bởi App Check?

Kiểm tra ứng dụng dựa vào sức mạnh của các nhà cung cấp chứng thực để xác định tính xác thực của ứng dụng hoặc thiết bị. Nó ngăn chặn một số, nhưng không phải tất cả, các vectơ lạm dụng hướng đến các phụ trợ của bạn. Sử dụng Kiểm tra ứng dụng không đảm bảo loại bỏ tất cả các hành vi lạm dụng, nhưng bằng cách tích hợp với Kiểm tra ứng dụng, bạn đang thực hiện một bước quan trọng để bảo vệ chống lạm dụng cho các tài nguyên phụ trợ của mình.

Kiểm tra ứng dụng và Xác thực Firebase là các phần bổ sung trong câu chuyện bảo mật ứng dụng của bạn. Xác thực Firebase cung cấp xác thực người dùng, bảo vệ người dùng của bạn, trong khi Kiểm tra ứng dụng cung cấp chứng nhận tính xác thực của ứng dụng hoặc thiết bị, bảo vệ bạn, nhà phát triển. Kiểm tra ứng dụng bảo vệ quyền truy cập vào tài nguyên Firebase và phụ trợ tùy chỉnh của bạn bằng cách yêu cầu lệnh gọi API phải chứa mã thông báo Kiểm tra ứng dụng Firebase hợp lệ. Hai khái niệm này kết hợp với nhau để giúp bảo mật ứng dụng của bạn.

Hạn ngạch & giới hạn

Việc bạn sử dụng Kiểm tra ứng dụng phải tuân theo hạn ngạch và giới hạn của các nhà cung cấp chứng thực mà bạn sử dụng.

  • Quyền truy cập DeviceCheck phải tuân theo bất kỳ hạn ngạch hoặc giới hạn nào do Apple đặt ra.

  • SafetyNet có hạn ngạch 10.000 cuộc gọi hàng ngày. Để biết thông tin về yêu cầu tăng hạn ngạch, xem tài liệu SafetyNET .

  • reCAPTCHA v3 có hạn ngạch hàng tháng là 1 triệu cuộc gọi, cũng như giới hạn 1.000 QPS. Để biết thông tin về yêu cầu tăng hạn ngạch, xem tài liệu reCAPTCHA .

Bắt đầu

Sẵn sàng để bắt đầu?

Bắt đầu với DeviceCheck trên iOS Bắt đầu với App chứng thực trên iOS

Bắt đầu trên Android

Bắt đầu trên các ứng dụng web

Bắt đầu với các nhà cung cấp tùy chỉnh

Tìm hiểu cách sử dụng Kiểm tra ứng dụng để bảo vệ các tài nguyên phụ trợ không phải Firebase của bạn:

iOS Android Web