Sprawdzanie aplikacji pomaga chronić aplikacje przed nadużyciami, uniemożliwiając nieautoryzowanym klientom uwierzytelnianie przy użyciu Logowania przez Google: tylko autoryzowane aplikacje mogą uzyskiwać tokeny dostępu i tokeny tożsamości z punktów końcowych OAuth 2.0 i OpenID Connect Google.
Dzięki Sprawdzaniu aplikacji urządzenia, na których działa Twoja aplikacja, używają usługi Apple App Attest, aby sprawdzać, czy żądania OAuth 2.0 i OpenID Connect pochodzą z wiarygodnej aplikacji. Potwierdzenie jest wysyłane z każdym żądaniem wysyłanym przez aplikację do punktów końcowych uwierzytelniania Google. Gdy włączysz wymuszanie Sprawdzania aplikacji, żądania klientów bez prawidłowego atestu będą odrzucane, podobnie jak wszystkie żądania pochodzące z aplikacji, która nie została przez Ciebie autoryzowana.
Zaczynamy?
Jak to działa?
Gdy włączysz Sprawdzanie aplikacji pod kątem Logowania przez Google, przy uzyskiwaniu dostępu do punktu końcowego Google OAuth 2.0 zachodzą te procesy:
- Aplikacja wchodzi w interakcję z usługami Apple, aby uzyskać potwierdzenie jej autentyczności.
- Atest jest wysyłany do serwera Sprawdzania aplikacji, który sprawdza poprawność atestu przy użyciu parametrów zarejestrowanych w aplikacji, a potem zwraca do aplikacji token Sprawdzania aplikacji. Ten token może zawierać informacje o zweryfikowanym materiale atestu.
- Biblioteka klienta Sprawdzania aplikacji wysyła token wraz z żądaniem do punktów końcowych uwierzytelniania Google.
Gdy wymuszanie Sprawdzania aplikacji jest włączone, Google akceptuje tylko żądania, którym towarzyszy aktualny, prawidłowy token Sprawdzania aplikacji.
Jak silne są zabezpieczenia zapewniane przez Sprawdzanie aplikacji?
Sprawdzanie aplikacji korzysta z siły usługi App Attest firmy Apple. Zapobiega niektórych (ale nie wszystkim) wektorom nadużyć ukierunkowanych na Twój projekt. Korzystanie ze Sprawdzania aplikacji nie gwarantuje wyeliminowania wszystkich nadużyć, ale integracja z tą funkcją to ważny krok w kierunku ochrony aplikacji przed nadużyciami.
Pierwsze kroki
Przeczytaj przewodnik dla początkujących, aby dowiedzieć się, jak zainstalować i skonfigurować Sprawdzanie aplikacji.