בדיקת האפליקציה עוזרת להגן על האפליקציות מפני ניצול לרעה על ידי מניעת אימות של לקוחות לא מורשים באמצעות כניסה באמצעות חשבון Google: רק האפליקציות שנתתם להן הרשאה יכולות לקבל אסימוני גישה ואסימונים מזהים מנקודת הקצה של OAuth 2.0 ו-OpenID Connect של Google.
באמצעות App Check, מכשירים שמריצים את האפליקציה משתמשים בשירות App Attest של Apple כדי לאמת שבקשות OAuth 2.0 ו-OpenID Connect מגיעות מהאפליקציה המקורית שלכם. האימות הזה נשלח עם כל בקשה שהאפליקציה שולחת לנקודות הקצה של האימות של Google. כשמפעילים את האכיפה של בדיקת האפליקציה, בקשות מלקוחות שאין להם אימות חוקי יידחו, כמו גם בקשות שמגיעות מאפליקציה שלא אישרתם.
שנתחיל?
איך זה עובד?
כשמפעילים את בדיקת האפליקציה לכניסה באמצעות חשבון Google, הדברים הבאים קורים בכל פעם שניגשים לנקודת קצה של OAuth 2.0 של Google:
- האפליקציה שלכם מנהלת אינטראקציה עם השירותים של Apple כדי לקבל אימות לגבי האותנטיות של האפליקציה.
- האימות נשלח לשרת של App Check, שמאמת את תוקף האימות באמצעות פרמטרים שרשומים באפליקציה, ומחזיר לאפליקציה אסימון בדיקת אפליקציה. באסימון הזה עשוי להישמר מידע מסוים על חומר האימות שהוא אימת.
- ספריית הלקוח של App Check שולחת את האסימון יחד עם הבקשה לנקודות הקצה של האימות של Google.
כשהאכיפה של בדיקת האפליקציה מופעלת, Google מקבלת רק בקשות שמלוות אסימון תקף ועדכני של בדיקת אפליקציה.
עד כמה חזקה רמת האבטחה שמספקת בדיקת האפליקציה?
בדיקת האפליקציות מסתמכת על העוצמה של השירות App Attest של Apple כדי לקבוע את האותנטיות של האפליקציה. הוא מונע חלק מווקטורים של ניצול לרעה שמיועדים לפרויקט שלכם, אבל לא את כולם. השימוש בבדיקת אפליקציות לא מבטיח שכל התנהלות פוגעת תבוטל, אבל על ידי שילוב עם App Check, אתם עושים צעד חשוב להגנה מפני ניצול לרעה של האפליקציה.
צעדים ראשונים
במדריך תחילת העבודה מוסבר איך להתקין ולהגדיר את השירות 'בדיקת אפליקציות'.