Catch up on everthing we announced at this year's Firebase Summit. Learn more

Firebase 应用检查

App Check 有助于保护您的后端资源免遭滥用,例如账单欺诈和网络钓鱼。它适用于 Firebase 服务和您自己的后端,以确保您的资源安全。

借助 App Check,运行您的应用的设备将使用能够证明以下一项或两项的应用或设备证明提供程序:

  • 请求来自您的真实应用
  • 请求来自真实的、未被篡改的设备

此证明会附加到您的应用向 Firebase 后端资源发出的每个请求中。

App Check 内置支持使用以下服务作为证明提供者:

如果这些不足以满足您的需求,您还可以实现自己的服务,该服务使用第三方证明提供者或您自己的证明技术。

App Check 目前适用于以下 Firebase 产品:

支持的 Firebase 产品
实时数据库
Cloud Firestore(仅限 iOS 和 Android;即将提供网络支持)
云储存
云函数(可调用函数)

您还可以使用 App Check 来保护您的非 Firebase 后端资源。

准备好开始了吗?

开始

它是如何工作的?

当您为服务启用 App Check 并在您的应用程序中包含客户端 SDK 时,会定期发生以下情况:

  1. 您的应用与您选择的提供商进行交互,以获得应用或设备真实性(或两者,取决于提供商)的证明。
  2. 证明被发送到 App Check 服务器,它使用在应用中注册的参数来验证证明的有效性,并向您的应用返回一个带有过期时间的 App Check 令牌。此令牌可能会保留有关其验证的证明材料的一些信息。
  3. App Check 客户端 SDK 将令牌缓存在您的应用程序中,随时可以与您的应用程序向受保护服务发出的任何请求一起发送。

受 App Check 保护的服务仅接受带有当前有效 App Check 令牌的请求。

App Check 提供的安全性有多强?

App Check 依靠其认证提供商的实力来确定应用或设备的真实性。它可以防止一些(但不是全部)针对您的后端的滥用媒介。使用 App Check 并不能保证消除所有滥用,但通过与 App Check 集成,您正在朝着后端资源滥用保护迈出重要一步。

App Check 和 Firebase 身份验证是您的应用安全故事的补充部分。 Firebase 身份验证提供用户身份验证,以保护您的用户,而 App Check 提供应用或设备真实性证明,以保护您,即开发者。 App Check 通过要求 API 调用包含有效的 Firebase App Check 令牌来保护对 Firebase 资源和自定义后端的访问。这两个概念协同工作以帮助保护您的应用程序。

配额和限制

您对 App Check 的使用受您使用的认证提供商的配额和限制的约束。

  • DeviceCheck 和 App Attest 访问受 Apple 设置的任何配额或限制的约束。

  • SafetyNet 的每日配额为 10,000 次调用。有关申请增加配额的信息,请参阅安全网文档

  • reCAPTCHA v3 的每月配额为 100 万次调用,以及 1,000 QPS 的限制。有关申请增加配额的信息,请参阅验证码文档

  • reCAPTCHA Enterprise 每月可免费拨打 100 万次,费用超出此范围。见reCAPTCHA的企业定价

开始

准备好开始了吗?

苹果平台

DeviceCheck应用的Attest

安卓

安全网

网络

验证码V3验证码企业

了解如何实现自定义 App Check 提供程序:

自定义提供商

了解如何使用 App Check 保护您的非 Firebase 后端资源:

iOS版+安卓