Firebase App Check
Sprawdzanie aplikacji pomaga chronić zasoby interfejsu API przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów backendu. Współpracuje z usługami Google (w tym z Firebase i Google Cloud) oraz z Twoimi własnymi interfejsami API, aby chronić Twoje zasoby.
Dzięki Sprawdzaniu aplikacji urządzenia korzystające z Twojej aplikacji będą korzystać z usług dostawcy atestu urządzenia, który potwierdza jeden lub oba z tych warunków:
- Żądania pochodzą z autentycznej aplikacji
- Żądania pochodzą z autentycznego, niezakłóconego urządzenia
Potwierdzenie jest dołączane do każdego żądania wysyłanego przez aplikację do określonych przez Ciebie interfejsów API. Gdy włączysz wymuszanie Sprawdzania aplikacji, żądania od klientów bez prawidłowego atestu będą odrzucane, podobnie jak wszystkie żądania pochodzące z nieautoryzowanej aplikacji lub platformy.
Sprawdzanie aplikacji ma wbudowaną obsługę następujących usług jako dostawców atestów:
- DeviceCheck lub App Attest na platformach Apple
- Funkcja Play Integrity lub SafetyNet (wycofana) na Androidzie
- reCAPTCHA Enterprise w aplikacjach internetowych.
Jeśli są one niewystarczające, możesz też wdrożyć własną usługę, która korzysta z zewnętrznego dostawcy atestów lub z własnych technik atestu.
Sprawdzanie aplikacji działa z tymi usługami Google:
| Obsługiwane usługi Google |
|---|
| Baza danych czasu rzeczywistego |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (funkcje wywoływane) |
| Uwierzytelnianie (beta; wymaga przejścia na Uwierzytelnianie Firebase z Identity Platform) |
| Tożsamość Google na iOS (beta) |
| Vertex AI dla Firebase (wersja testowa) |
Sprawdzania aplikacji możesz też używać do ochrony zasobów backendu spoza Google.
Chcesz rozpocząć?
Jak to działa?
Gdy włączysz Sprawdzanie aplikacji w usłudze i dodasz do niej pakiet SDK klienta, okresowo będą wykonywać te czynności:
- Aplikacja współpracuje z wybranym dostawcą, aby uzyskać poświadczenie o autentyczności aplikacji lub urządzenia (albo obu, w zależności od dostawcy).
- Atest jest wysyłany do serwera Sprawdzania aplikacji, który sprawdza poprawność atestu za pomocą parametrów zarejestrowanych w aplikacji, i zwraca do aplikacji token Sprawdzania aplikacji z datą ważności. Ten token może zawierać pewne informacje o zweryfikowanym materiale atestu.
- Pakiet SDK klienta Sprawdzania aplikacji zapisuje token w pamięci podręcznej aplikacji, który jest gotowy do wysłania razem ze wszystkimi żądaniami wysyłanymi przez aplikację do chronionych usług.
Usługa chroniona przez funkcję Sprawdzanie aplikacji akceptuje tylko żądania, którym towarzyszy aktualny, prawidłowy token Sprawdzania aplikacji.
Jak silne są zabezpieczenia zapewniane przez Sprawdzanie aplikacji?
Sprawdzanie aplikacji opiera się na sile dostawców atestów przy określaniu autentyczności aplikacji lub urządzenia. Zapobiega ona niektórym, ale nie wszystkim wektorom nadużyć skierowanych do Twoich backendów. Korzystanie ze Sprawdzania aplikacji nie gwarantuje wyeliminowania wszelkich nadużyć, ale dzięki integracji z funkcją Sprawdzania aplikacji to Twój ważny krok w kierunku ochrony zasobów backendu przed nadużyciami.
W jaki sposób Sprawdzanie aplikacji jest powiązane z Uwierzytelnianiem Firebase?
Sprawdzanie aplikacji i Uwierzytelnianie Firebase to uzupełniające się elementy zabezpieczeń aplikacji. Uwierzytelnianie Firebase zapewnia uwierzytelnianie użytkowników, które chroni ich, a Sprawdzanie aplikacji zapewnia poświadczanie autentyczności aplikacji lub urządzenia, co pomaga chronić dewelopera. Sprawdzanie aplikacji chroni dostęp do Twoich zasobów Firebase i niestandardowych backendów, wymagając, aby wywołania interfejsu API zawierały prawidłowy token Sprawdzania aplikacji Firebase. Te 2 koncepcje razem pomagają zabezpieczyć Twoją aplikację.
Limity
Korzystanie ze Sprawdzania aplikacji podlega limitom i limitom dostawców atestów.
Dostęp do DeviceCheck i App Attest podlega dowolnym limitom lub ograniczeniom określonym przez Apple.
Play Integrity ma dzienny limit 10 tys. wywołań dla standardowego poziomu wykorzystania interfejsu API. Informacje o zwiększaniu poziomu wykorzystania znajdziesz w dokumentacji Play Integrity.
SafetyNet ma dzienny limit 10 000 połączeń. Informacje na temat wysyłania prośby o zwiększenie limitu znajdziesz w dokumentacji SafetyNet.
reCAPTCHA Enterprise nie kosztuje 1 miliona wywołań miesięcznie, a oprócz tego kosztuje więcej. Zobacz cennik reCAPTCHA Enterprise.
Pierwsze kroki
Chcesz rozpocząć?
Platformy Apple
Android
Internet
Flutter
C++
Unity
Dowiedz się, jak wdrożyć własnego dostawcę Sprawdzania aplikacji:
Dowiedz się, jak używać Sprawdzania aplikacji do ochrony zasobów backendu spoza Firebase: