Firebase App Check
Sprawdzanie aplikacji pomaga chronić zasoby interfejsu API przed nadużyciami, uniemożliwiając nieautoryzowanym klientom dostęp do zasobów backendu. Współpracuje z usługami Google (w tym Firebase i Google Cloud) oraz z Twoimi interfejsami API, aby zapewnić bezpieczeństwo zasobów.
Dzięki Sprawdzaniu aplikacji urządzenia z Twoją aplikacją będą korzystać z dostawcy poświadczeń aplikacji lub urządzeń, które potwierdzają co najmniej jedną z tych wartości:
- Żądania pochodzą z autentycznej aplikacji
- Żądania pochodzą z autentycznego, nieuszkodzonego urządzenia
Ten atest jest dołączany do każdego żądania wysyłanego przez aplikację do określonych interfejsów API. Gdy włączysz wymuszanie Sprawdzania aplikacji, żądania od klientów bez prawidłowego atestu będą odrzucane, podobnie jak wszystkie żądania pochodzące z aplikacji lub platformy niezatwierdzonej przez Ciebie.
Sprawdzanie aplikacji ma wbudowaną obsługę używania tych usług jako dostawców poświadczeń:
- DeviceCheck lub App Attest na platformach Apple
- Play Integrity lub SafetyNet (wycofany) na Androidzie
- reCAPTCHA Enterprise w aplikacjach internetowych.
Jeśli nie odpowiadają one Twoim potrzebom, możesz też wdrożyć własną usługę, która korzysta z zewnętrznego dostawcy atestów lub z własnych technik poświadczania.
Sprawdzanie aplikacji działa z tymi usługami Google:
Obsługiwane usługi Google |
---|
Baza danych czasu rzeczywistego |
Cloud Firestore |
Cloud Storage |
Cloud Functions (funkcje wywoływane) |
Uwierzytelnianie (beta; wymaga przejścia na Uwierzytelnianie Firebase za pomocą Identity Platform) |
Tożsamość Google w systemie iOS (beta) |
Vertex AI dla Firebase (wersja przedpremierowa) |
Sprawdzania aplikacji możesz też używać do ochrony zasobów backendu spoza Google.
Chcesz rozpocząć?
Jak to działa?
Gdy włączysz Sprawdzanie aplikacji w usłudze i dodasz do aplikacji pakiet SDK klienta, co jakiś czas:
- Aplikacja kontaktuje się z wybranym dostawcą, aby uzyskać poświadczenie autentyczności aplikacji lub urządzenia (albo i jedno, w zależności od dostawcy).
- Atest jest wysyłany do serwera Sprawdzania aplikacji, który sprawdza poprawność atestu przy użyciu parametrów zarejestrowanych w aplikacji, i zwraca do aplikacji token Sprawdzania aplikacji z datą ważności. Ten token może przechowywać pewne informacje o zweryfikowanym materiale atestu.
- Pakiet SDK klienta Sprawdzanie aplikacji zapisuje token w aplikacji w pamięci podręcznej, gotowe do wysłania razem ze wszystkimi żądaniami, które Twoja aplikacja wysyła do chronionych usług.
Usługa chroniona przez Sprawdzanie aplikacji akceptuje tylko żądania wraz z aktualnym, prawidłowym tokenem Sprawdzania aplikacji.
Jak silne są zabezpieczenia zapewniane przez Sprawdzanie aplikacji?
Sprawdzanie aplikacji ustala autentyczność aplikacji lub urządzenia na podstawie informacji od dostawców poświadczeń. Zapobiega to niektórym wektorom nadużyć skierowanych do Twoich backendów. Korzystanie ze Sprawdzania aplikacji nie gwarantuje wyeliminowania wszystkich nadużyć, ale integracja ze Sprawdzaniem aplikacji to ważny krok w kierunku ochrony zasobów backendu przed nadużyciami.
Jak Sprawdzanie aplikacji jest powiązane z Uwierzytelnianiem Firebase?
Sprawdzanie aplikacji i Uwierzytelnianie Firebase to uzupełniające się składniki historii zabezpieczeń aplikacji. Uwierzytelnianie Firebase zapewnia uwierzytelnianie użytkowników, które chronią ich, a Sprawdzanie aplikacji poświadcza autentyczność aplikacji lub urządzenia, co zabezpiecza dewelopera. Sprawdzanie aplikacji zabezpiecza dostęp do zasobów backendu Google i niestandardowych backendów, wymagając, aby wywołania interfejsu API zawierały prawidłowy token Sprawdzania aplikacji. Te 2 elementy współdziałają, aby zwiększyć bezpieczeństwo Twojej aplikacji.
Limity
Korzystanie ze Sprawdzania aplikacji podlega limitom określonym przez dostawców atestów.
Dostęp do DeviceCheck i App Attest podlega limitom określonym przez Apple.
W Play Integrity obowiązuje dzienny limit 10 tys. wywołań interfejsu API Standard. Informacje o podnoszeniu poziomu wykorzystania znajdziesz w dokumentacji Play Integrity.
SafetyNet ma dzienny limit 10 000 wywołań. Informacje o przesyłaniu próśb o zwiększenie limitu znajdziesz w dokumentacji SafetyNet.
reCAPTCHA Enterprise to bezpłatny 1 milion wywołań miesięcznie (oprócz dodatkowych kosztów). Zobacz cennik reCAPTCHA Enterprise.
Pierwsze kroki
Chcesz rozpocząć?
Platformy Apple
Android
Internet
Flutter
C++
Unity
Dowiedz się, jak wdrożyć niestandardowego dostawcę Sprawdzanie aplikacji:
Dowiedz się, jak używać Sprawdzania aplikacji do ochrony zasobów backendu spoza Google: