Firebase App Check

App Check עוזר להגן על הקצה העורפי של האפליקציה מפני ניצול לרעה על ידי מניעת גישה של לקוחות לא מורשים למשאבי הקצה העורפי. הוא פועל עם שירותי Google (כולל שירותי Firebase ו-Google Cloud) ועם קצה העורפי המותאם אישית שלכם כדי לשמור על הבטיחות של המשאבים.

באמצעות App Check, מכשירים שמריצים את האפליקציה שלכם ישתמשו בספק אימות אפליקציה או מכשיר שמאמת את אחד מהדברים הבאים או את שניהם:

  • הבקשות מגיעות מהאפליקציה המאומתת שלכם
  • הבקשות מגיעות ממכשיר מקורי שלא בוצעו בו שינויים

האישור הזה מצורף לכל בקשה שהאפליקציה שולחת לממשקי ה-API שציינתם. כשמפעילים את האכיפה של App Check, בקשות מלקוחות ללא אישור תקף יידחו, וכך גם בקשות שמקורן באפליקציה או בפלטפורמה שלא אישרתם.

ל-App Check יש תמיכה מובנית בשימוש בשירותים הבאים כספקי אימות:

אם הפתרונות האלה לא מספיקים לצרכים שלכם, אתם יכולים גם להטמיע שירות משלכם שמשתמש בספק אימות של צד שלישי או בטכניקות אימות משלכם.

App Check פועל עם שירותי Google הבאים:

שירותי Firebase ו-Google Cloud נתמכים
Firebase Authentication (תצוגה מקדימה)
Firebase Data Connect
Cloud Firestore
Firebase Realtime Database
Cloud Storage for Firebase
Cloud Functions for Firebase (פונקציות שאפשר להפעיל בלבד)
Firebase AI Logic
שירותים נתמכים של הפלטפורמה של מפות Google
Maps JavaScript API (תצוגה מקדימה)
Places API (חדש) (תצוגה מקדימה)
שירותי Google נתמכים אחרים
Google Identity for iOS

אפשר גם להשתמש ב-App Check כדי להגן על משאבי קצה עורפי בהתאמה אישית שאינם של Google, כמו קצה עורפי משלכם שמתארח באופן עצמאי.

כאן מוסבר איך מתחילים

איך זה עובד?

כשמפעילים את App Check בשביל שירות מסוים וכוללים את ה-SDK של הלקוח באפליקציה, מתרחשים הדברים הבאים באופן תקופתי:

  1. האפליקציה שלכם מתקשרת עם הספק שבחרתם כדי לקבל אישור על האותנטיות של האפליקציה או של המכשיר (או שניהם, בהתאם לספק).
  2. האימות נשלח לשרת App Check, שמאמת את התוקף של האימות באמצעות פרמטרים שרשומים באפליקציה, ומחזיר לאפליקציה שלכם אסימון App Check עם זמן תפוגה. יכול להיות שהאסימון הזה ישמור חלק מהמידע על חומר האימות שהוא אימת.
  3. ערכת ה-SDK של לקוח App Check שומרת את הטוקן במטמון באפליקציה, והוא מוכן להישלח עם כל בקשה שהאפליקציה שולחת לשירותים מוגנים.

שירות שמוגן על ידי App Check מקבל רק בקשות שמצורף אליהן אסימון App Check תקף ועדכני.

עד כמה האבטחה שמספקת App Check חזקה?

App Check מסתמך על עוצמת ספקי האימות שלו כדי לקבוע את האותנטיות של האפליקציה או המכשיר. היא מונעת חלק מדרכי ההתנהלות הפוגעת, אבל לא את כולן, שמכוונות אל השרתים העורפיים שלכם. השימוש ב-App Check לא מבטיח את סילוק כל סוגי הניצול לרעה, אבל השילוב עם App Check הוא צעד חשוב להגנה על משאבי הקצה העורפי מפני ניצול לרעה.

App Check ו-Firebase Authentication הם חלקים משלימים בסיפור האבטחה של האפליקציה. ‫Firebase Authentication מספק אימות משתמשים, שמגן על המשתמשים שלכם, ואילו App Check מספק אישור של האותנטיות של האפליקציה או המכשיר, שמגן עליכם, המפתחים. ‫App Check שומר על הגישה למשאבי הקצה העורפי של Google ולבקשות קצה עורפי בהתאמה אישית, ודורש שבקשות API יכילו אסימון App Check תקין. השילוב בין שני המושגים האלה עוזר לאבטח את האפליקציה.

מכסות ומגבלות

השימוש שלך ב-App Check כפוף למכסות ולמגבלות של ספקי האימות שבהם אתה משתמש.

  • הגישה ל-DeviceCheck ול-App Attest כפופה למכסות או להגבלות שנקבעו על ידי Apple.

  • ל-Play Integrity יש מכסה יומית של 10,000 קריאות לרמת השימוש הרגילה ב-API. למידע על העלאת רמת השימוש, אפשר לעיין במסמכי התיעוד של Play Integrity.

  • השימוש ב-reCAPTCHA Enterprise הוא ללא עלות עד 10,000 בדיקות בכל חודש, ומעבר לכך יש עלות. מידע על התמחור של reCAPTCHA

שנתחיל?

שנתחיל?

פלטפורמות של אפל

DeviceCheck App Attest

Android

Play Integrity

אינטרנט

reCAPTCHA Enterprise

Flutter

ספקי ברירת מחדל

Unity

ספקי ברירת מחדל

C++‎

ספקי ברירת מחדל

App Checkאיך מטמיעים ספק מותאם אישית

ספקים בהתאמה אישית

איך משתמשים ב-App Check כדי להגן על משאבי ה-Backend המותאמים אישית

בוחרים את הפלטפורמה:

iOS+‎ Android Web Flutter Unity C++‎