Firebase App Check
App Check giúp bảo vệ phần phụ trợ của ứng dụng khỏi hành vi sai trái bằng cách ngăn chặn máy khách chưa được cấp phép truy cập tài nguyên phụ trợ của bạn. Công cụ này hoạt động với cả các dịch vụ của Google (bao gồm cả Firebase và các dịch vụ của Google Cloud) cũng như chương trình phụ trợ của riêng bạn để giữ an toàn cho tài nguyên của bạn.
Với App Check, các thiết bị chạy ứng dụng của bạn sẽ sử dụng một ứng dụng hoặc thiết bị nhà cung cấp dịch vụ chứng thực cam kết một hoặc cả hai thông tin sau:
- Yêu cầu bắt nguồn từ ứng dụng chính thống của bạn
- Yêu cầu bắt nguồn từ một thiết bị chính hãng, chưa được chăm sóc
Chứng thực này được đính kèm vào mọi yêu cầu mà ứng dụng của bạn đưa ra đối với các API mà bạn chỉ định. Khi bạn bật chế độ thực thi App Check, các yêu cầu từ những khách hàng không có chứng thực hợp lệ đều sẽ bị từ chối, cũng như mọi yêu cầu khác bắt nguồn từ một ứng dụng hoặc nền tảng mà bạn chưa cho phép.
App Check có tính năng hỗ trợ tích hợp để sử dụng các dịch vụ sau làm nhà cung cấp dịch vụ chứng thực:
- Kiểm tra thiết bị hoặc Chứng thực ứng dụng trên các nền tảng của Apple
- API Tính toàn vẹn của Play hoặc SafetyNet (không dùng nữa) trên Android
- reCAPTCHA Enterprise trên các ứng dụng web.
Nếu những tài nguyên này không đáp ứng được nhu cầu của bạn, bạn cũng có thể triển khai dịch vụ sử dụng nhà cung cấp dịch vụ chứng thực bên thứ ba hoặc của riêng bạn kỹ thuật chứng thực.
App Check hoạt động với các dịch vụ sau đây của Google:
| Các dịch vụ được hỗ trợ của Google |
|---|
| Realtime Database |
| Cloud Firestore |
| Cloud Storage |
| Cloud Functions (các hàm có thể gọi) |
| Authentication (thử nghiệm; yêu cầu nâng cấp lên Firebase Authentication with Identity Platform) |
| Google Identity dành cho iOS (beta) |
| Vertex AI in Firebase (Xem trước) |
Bạn cũng có thể sử dụng App Check để bảo vệ các tài nguyên phụ trợ không phải của Google.
Tính năng này hoạt động như thế nào?
Khi bạn bật App Check cho một dịch vụ và thêm SDK ứng dụng trong ứng dụng của bạn, những hoạt động sau đây sẽ diễn ra định kỳ:
- Ứng dụng của bạn tương tác với nhà cung cấp mà bạn chọn để có được chứng thực tính xác thực của ứng dụng hoặc thiết bị (hoặc cả hai, tuỳ thuộc vào nhà cung cấp).
- Chứng thực này được gửi đến máy chủ App Check, máy chủ này sẽ xác minh tính hợp lệ của quy trình chứng thực thông qua các tham số đã đăng ký với ứng dụng, và sẽ trả về cho ứng dụng của bạn một mã thông báo App Check có thời gian hết hạn. Chiến dịch này mã thông báo có thể giữ lại một số thông tin về tài liệu chứng thực mà mã này đã xác minh.
- SDK ứng dụng App Check sẽ lưu mã thông báo vào bộ nhớ đệm trong ứng dụng, sẵn sàng để gửi đi cùng với mọi yêu cầu mà ứng dụng của bạn đưa ra đối với các dịch vụ được bảo vệ.
Dịch vụ được bảo vệ bởi App Check chỉ chấp nhận các yêu cầu đi kèm theo mã thông báo App Check hợp lệ hiện tại.
Khả năng bảo mật do App Check cung cấp mạnh đến mức nào?
App Check dựa vào độ mạnh của các nhà cung cấp dịch vụ chứng thực để xác định tính xác thực của ứng dụng hoặc thiết bị. Nó ngăn chặn một số, chứ không phải tất cả, vectơ lạm dụng hướng đến phần phụ trợ của bạn. Việc sử dụng App Check không đảm bảo loại bỏ mọi hành vi sai trái, nhưng khi tích hợp với App Check, bạn thực hiện một bước quan trọng nhằm chống lại hành vi sai trái đối với tài nguyên phụ trợ.
App Check có liên quan như thế nào với Firebase Authentication?
App Check và Firebase Authentication là các phần bổ sung để bảo mật ứng dụng câu chuyện của bạn. Firebase Authentication cung cấp tính năng xác thực người dùng để bảo vệ người dùng, trong khi App Check chứng thực tính xác thực của ứng dụng hoặc thiết bị, giúp bảo vệ nhà phát triển, chính bạn. App Check bảo vệ quyền truy cập vào tài khoản Google của bạn tài nguyên phụ trợ và phần phụ trợ tuỳ chỉnh bằng cách yêu cầu lệnh gọi API chứa hàm Mã thông báo App Check. Hai khái niệm này phối hợp với nhau để giúp bảo mật ứng dụng của bạn.
Hạn mức và giới hạn
Việc bạn sử dụng App Check phải tuân theo các hạn mức và giới hạn của quy trình chứng thực mà bạn sử dụng.
Quyền truy cập vào tính năng Kiểm tra thiết bị và Xác thực ứng dụng phải tuân theo mọi hạn mức hoặc giới hạn đã đặt của Apple.
API Tính toàn vẹn của Play đặt ra hạn mức 10.000 lệnh gọi mỗi ngày cho mức sử dụng API tiêu chuẩn cấp. Để biết thông tin về cách tăng cấp sử dụng, hãy xem Tài liệu về API Tính toàn vẹn của Play.
SafetyNet có hạn mức 10.000 lệnh gọi mỗi ngày. Để biết thông tin về cách yêu cầu hạn mức, hãy xem tài liệu về SafetyNet.
reCAPTCHA Enterprise không tính phí cho 10.000 bài đánh giá mỗi tháng và có một vượt quá giới hạn đó. Xem giá của reCAPTCHA.
Bắt đầu
Bạn đã sẵn sàng bắt đầu?
Nền tảng của Apple
Kiểm tra thiết bị Chứng thực ứng dụng
Android
Web
Flutter
C++
Unity
Tìm hiểu cách triển khai trình cung cấp App Check tuỳ chỉnh
Tìm hiểu cách sử dụng App Check để bảo vệ tài nguyên phụ trợ không phải của Google
Chọn nền tảng bạn sử dụng:
iOS trở lên Android Web Flutter