实现 Firebase App Check 以保护 Gemini API 免遭未经授权的客户端入侵

对于移动应用和 Web 应用,您需要保护 Gemini API 和项目资源(例如经过调整的模型)免遭未经授权的客户端滥用。您可以使用 Firebase App Check 验证所有 API 调用是否来自您的实际应用。

Gemini API仅当您使用 Vertex AI in Firebase SDK 时,才可使用使用 App Check 的滥用行为防范功能。

使用 App Check 时,运行您的应用的设备使用应用或设备证明提供程序来验证以下一项或两项:

  • 请求来自您的正版应用
  • 请求来自真实的、未经篡改的设备

此证明会附加到您的应用使用 Vertex AI Gemini API 发出的每个请求。启用 App Check 强制执行后,来自没有有效证明的客户端的请求将被拒绝,来自未经您授权的应用或平台的请求也将被拒绝。

可用的提供程序和实现说明

App Check 支持使用以下服务作为证明提供方(此支持是内置的)。点击相应提供商的链接可查看该提供商的 App Check 文档,包括说明和实现说明。

如果这些提供程序无法满足您的需求,您还可以实现自己的服务(使用第三方证明提供程序或您自己的证明技术)(如需了解详情,请参阅 App Check 文档)。

有关 App Check 的更多信息

了解 App Check 如何保护 Gemini API

如需使用 Vertex AI in Firebase SDK,您必须在 Firebase 项目中启用 Vertex AI in Firebase API (firebasevertexai.googleapis.com)。这是因为,Vertex AI in Firebase SDK 发出的请求会先发送到 Vertex AI in Firebase 服务器,该服务器充当代理网关,在请求被允许继续发送到 Vertex AI 后端和 Gemini API 之前,会先进行 Firebase App Check 验证。

请注意,Vertex AI in Firebase API 本身不会执行任何 App Check 验证。而是由 Vertex AI in Firebase SDK 自动将来自应用的请求通过 Vertex AI in Firebase 网关路由。