Firebase AppCheck 的目的是什么？

Question

我想提高我的应用程序的安全性，我正在研究 Firebase 应用程序检查服务，该服务可确保向服务器发出的所有请求都来自我的应用程序。 仅在 Firebase 实时数据库中，我设置了以下规则：

"Users": {
      "$userId": {
        ".read": "auth != null && $userId === auth.uid",
          ".write": "auth != null && $userId === auth.uid", 
      }

我认为这可以确保请求来自登录到应用程序的用户。

那么，App Check 做的更多， 该服务是否还阻止越狱或特别植根的设备？因为它在网站上说：请求来自真实的、未篡改的设备。但引言中没有明确提及篡改的含义，即使看起来合乎逻辑我宁愿确定。

那么AppCheck如何保证发送到数据库的数据没有损坏呢？

例如，如果启用数据持久性并且用户关闭应用程序、更改本地存储的查询并重新启动应用程序。然后在我看来，损坏的请求将由 AppCheck 发送和验证，但它会被修改。如果没有，您能否详细说明过程，因为我有点困惑。

Answer 1

如果您只有显示的安全规则，并且不使用 App Check，那么任何人都可以从您的应用中获取配置数据，并使用该数据进行 API 调用。因此他们可以调用 API 来创建用户帐户，并以您可能没有想到的方式调用数据库。

如果您的安全规则捕获了您对数据的所有要求，那么 App Check 确实不会改变恶意用户可以做什么，它只是阻止滥用者的额外层。

不过，在许多情况下，您的应用程序代码执行的操作与您的安全规则强制执行的操作之间存在（有时是细微的）差异。在这种情况下，滥用的用户可能会运行他们自己的代码并执行与您的代码不同的操作。

例如，您的安全规则不会强制规定可以写入什么数据。因此，辱骂用户可以：

• 不要在用户配置文件中写入您的代码所期望的数据。
• 在用户配置文件中写入您的代码未预料到的完全不同的数据。
• 将更多数据写入配置文件，然后为您的项目收取费用。

虽然您可以（并且应该）将围绕数据格式和数据大小的所有此类要求编码到您的安全规则中，但启用 App Check 是一种已经阻止许多恶意用户的快速方法。

在使用应用检查和安全规则之间，您既可以得到广泛的保护，又可以细粒度地控制谁可以访问数据以及他们可以对数据执行什么操作。

Answer 2

除了puf 的回答，请查看 WWDC 谈话Mitigate fraud with App Attest and DeviceCheck。 Firebase App Check 为 App Attest 提供服务器。

Answer 3

转到 Apple 证书、标识符和配置文件： 选择您的密钥上传火力库并进行检查： 访问 DeviceCheck 和 AppAttest API 以获取您关联的数据 enter image description here