Firebase App Check
App Check помогает защитить бэкенды вашего приложения от злоупотреблений, предотвращая несанкционированный доступ клиентов к вашим бэкенд-ресурсам. Он работает как со службами Google (включая службы Firebase и Google Cloud ), так и с вашими собственными бэкендами, чтобы обеспечить безопасность ваших ресурсов.
Благодаря App Check устройства, на которых запущено ваше приложение, будут использовать поставщика аттестации приложений или устройств, который подтверждает одно или оба из следующих условий:
- Запросы исходят из вашего подлинного приложения
- Запросы исходят от подлинного, нетронутого устройства.
Эта аттестация прикрепляется к каждому запросу, который ваше приложение делает к указанным вами API. Когда вы включаете принудительное применение App Check , запросы от клиентов без действительной аттестации будут отклоняться, как и любые запросы, исходящие от приложения или платформы, которые вы не авторизовали.
App Check имеет встроенную поддержку использования следующих сервисов в качестве поставщиков подтверждения подлинности:
- DeviceCheck или App Attest на платформах Apple
- Играть в Integrity на Android
- reCAPTCHA Enterprise в веб-приложениях.
Если этого недостаточно для ваших нужд, вы также можете реализовать собственную службу, использующую либо стороннего поставщика услуг подтверждения подлинности, либо ваши собственные методы подтверждения подлинности.
App Check работает со следующими сервисами Google:
| Поддерживаемые сервисы Firebase и Google Cloud |
|---|
| Firebase Authentication (предварительная версия) |
| Firebase Data Connect |
| Cloud Firestore |
| Firebase Realtime Database |
| Cloud Storage for Firebase |
| Cloud Functions for Firebase (только вызываемые функции) |
| Логика искусственного интеллекта Firebase |
| Поддерживаемые сервисы платформы Google Maps |
| API JavaScript Карт (предварительная версия) |
| API мест (новый) (предварительная версия) |
| Другие поддерживаемые сервисы Google |
| Идентификация Google для iOS |
Вы также можете использовать App Check для защиты своих собственных внутренних ресурсов, не принадлежащих Google, например, вашего собственного внутреннего сервера.
Как это работает?
Когда вы включаете App Check для службы и включаете клиентский SDK в свое приложение, периодически происходит следующее:
- Ваше приложение взаимодействует с выбранным вами поставщиком для получения подтверждения подлинности приложения или устройства (или и того, и другого, в зависимости от поставщика).
- Подтверждение отправляется на сервер App Check , который проверяет действительность подтверждения с использованием параметров, зарегистрированных в приложении, и возвращает вашему приложению токен App Check со сроком действия. Этот токен может содержать некоторую информацию о проверенном им материале подтверждения.
- Клиентский SDK App Check кэширует токен в вашем приложении, готовый к отправке вместе с любыми запросами, которые ваше приложение делает защищенным службам.
Сервис, защищенный App Check принимает только запросы, сопровождаемые актуальным, действительным токеном App Check .
Насколько надежна безопасность, обеспечиваемая App Check ?
App Check полагается на силу своих поставщиков аттестации для определения подлинности приложения или устройства. Он предотвращает некоторые, но не все, векторы злоупотреблений, направленные на ваши бэкэнды. Использование App Check не гарантирует устранения всех злоупотреблений, но путем интеграции с App Check вы делаете важный шаг к защите от злоупотреблений для ваших бэкэнд-ресурсов.
Как App Check связана с Firebase Authentication ?
App Check и Firebase Authentication являются взаимодополняющими частями истории безопасности вашего приложения. Firebase Authentication обеспечивает аутентификацию пользователя, которая защищает ваших пользователей, в то время как App Check обеспечивает подтверждение подлинности приложения или устройства, что защищает вас, разработчика. App Check защищает доступ к вашим внутренним ресурсам Google и пользовательским внутренним модулям, требуя, чтобы вызовы API содержали действительный токен App Check . Эти две концепции работают вместе, помогая защитить ваше приложение.
Квоты и лимиты
Использование вами App Check регулируется квотами и ограничениями поставщиков услуг подтверждения подлинности, услугами которых вы пользуетесь.
Доступ к DeviceCheck и App Attest регулируется любыми квотами или ограничениями, установленными Apple.
Play Integrity имеет ежедневную квоту в 10 000 вызовов для своего уровня использования Standard API. Информацию о повышении уровня использования см. в документации Play Integrity .
reCAPTCHA Enterprise бесплатна для 10 000 оценок в месяц, и имеет стоимость сверх этого. См. цены reCAPTCHA .
Начать
Готовы начать?
Платформы Apple
Подтверждение приложения DeviceCheck
андроид
Веб
Трепетание
Единство
С++
Узнайте, как реализовать собственного поставщика App Check
Узнайте, как использовать App Check для защиты ваших пользовательских внутренних ресурсов.
Выберите платформу:
iOS+ Android Веб Flutter Unity C++