O App Check ajuda a proteger seus apps contra abusos impedindo que clientes não autorizados façam a autenticação usando o Login do Google: somente os apps autorizados podem conseguir tokens de acesso e de ID do endpoint OAuth 2.0 e OpenID Connect do Google.
Com o App Check, os dispositivos que executam seu app usam o serviço App Attest da Apple para verificar se as solicitações do OAuth 2.0 e OpenID Connect são originadas do seu app autêntico. Esse atestado é enviado com todas as solicitações que o app faz aos endpoints de autenticação do Google. Quando você ativa a aplicação do App Check, as solicitações de clientes sem um atestado válido são rejeitadas, assim como qualquer solicitação originada de um app que você não autorizou.
Tudo pronto para começar?
Como funciona?
Quando você ativa o App Check para o Login do Google, as seguintes ações acontecem sempre que você acessa um endpoint do Google OAuth 2.0:
- O app interage com os serviços da Apple para receber um atestado de autenticidade.
- O atestado é enviado ao servidor do App Check, que verifica a validade dele usando parâmetros registrados com o app e retorna ao seu app um token do App Check. Esse token pode reter algumas informações sobre o material de atestado verificado.
- A biblioteca de cliente do App Check envia o token com a solicitação para os endpoints de autenticação do Google.
Quando a aplicação do App Check está ativada, o Google só aceita solicitações acompanhadas de um token atual e válido.
Qual é o nível de segurança do App Check?
O App Check depende da força do serviço App Attest da Apple para determinar a autenticidade do aplicativo. Ele impede alguns vetores de abuso direcionados ao seu projeto, mas não todos. O uso do App Check não garante a eliminação de todos os abusos. No entanto, ao integrar o App Check, você toma um passo importante em direção à proteção contra abuso para seu app.
Primeiras etapas
Leia o guia Introdução para saber como instalar e configurar o App Check.