所有 API
Firebase App Check API logo

Firebase App Check API

Firebase App Check API

正常analyticsGoogle

Firebase App Check API 保护后端 API 只接受来自合法 app 的请求,防止 abuse、credential 滥用、bot 攻击。

访问站点 ↗健康巡检 9 小时前
适合什么时候用

利用平台原生 attestation(iOS App Attest、Android Play Integrity、web reCAPTCHA Enterprise)

先注意什么

Web 端要用 reCAPTCHA,可能阻挡部分用户

第一步先查

客户端集成 App Check SDK 获取 attestation token,发请求时附带。后端用 App Check API 验证 token。Firebase 各产品(Firestore、Functions)一键启用强制验证。

认证
CORS
不支持
HTTPS
注册
?
延迟
45 ms
协议
REST
计费

可用率 · 30 天窗口

巡检: 1可用率: 100%平均延迟: 45ms
01

关于这个 API

App Check 解决一个典型问题:你做了个 iOS/Android/web app,后端是 Firebase Firestore,但有人逆向 app 拿到 API key 写脚本疯狂调你的 Firestore——你的配额被烧光、数据被恶意写入。App Check 让 Firestore 只接受来自「能证明自己是真 app」的请求。证明机制利用平台原生能力:iOS 用 App Attest(基于 Secure Enclave)、Android 用 Play Integrity(设备和 app 完整性签名)、web 用 reCAPTCHA Enterprise(行为分析)。SDK 自动获取 attestation token,后端自动验证。配合 Firebase 各产品(Firestore、Realtime Database、Cloud Functions、Storage)一键启用 enforce。对任何严肃的 Firebase 应用都强烈推荐启用。

02

你可以做什么

  • 1防止他人盗用 API key 调用你的后端
  • 2只让合法 iOS/Android/web app 访问 Firestore
  • 3保护 Cloud Functions 不被 bot 滥用
  • 4防止 client-side 限流被绕过
03

优劣对比

优点

  • 利用平台原生 attestation(iOS App Attest、Android Play Integrity、web reCAPTCHA Enterprise)
  • 和 Firebase 后端原生集成(一键启用)
  • 不影响合法用户体验

注意事项

  • Web 端要用 reCAPTCHA,可能阻挡部分用户
  • 攻击者越狱 / 改 ROM 仍可绕过 attestation
04

示例请求

通用模板 — 实际 endpoint 请查阅文档替换 <endpoint>。
curl https://google.com/<endpoint>
05

快速开始

客户端集成 App Check SDK 获取 attestation token,发请求时附带。后端用 App Check API 验证 token。Firebase 各产品(Firestore、Functions)一键启用强制验证。

06

常见问题

会影响合法用户性能吗?+

几乎无感。token 缓存在客户端,每个 token 用一段时间。

能完全防御 root/越狱设备的攻击吗?+

不能 100%。Play Integrity 和 App Attest 在 root/越狱设备上会拒签 token,但攻击者可以试着伪造。提高门槛而非绝对防御。

07

技术细节

CORS: NoHTTPS: Yes注册: ?开源: No
认证方式
unknown
计费
unknown
协议
REST
SDK
javascript, typescript, swift, kotlin, go, java
响应时间
45 ms
上次巡检
2026/5/12 07:37:31
08

标签

google-cloudfirebaseapp-checkattestationsecurity
09

更多来自 Google 的 API

查看 Google 全部 API →
Admin SDK API

Google Workspace Admin SDK API 程序化管理 Workspace 组织:用户、组、设备、域名、审计日志、组织单元。

AdMob API

AdMob API 可读取 accounts、apps、adUnits 与 adSources,并生成 mediation 与 network 报表。

AdSense Host API

AdSense Host API 支持 accounts、adclients、adunits、reports 和 adcode 生成,适合托管式广告平台集成。

Apigee API

Apigee API 可管理 API proxy、deployments、attributes 与 organizations,适合把 API 网关运维接入自动化流程。

BigQuery API

Google BigQuery API 是 GCP 旗舰数据仓库的 REST 接口:执行 SQL 查询、管理 datasets/tables、流式插入、ML 内置。

Binary Authorization API

Binary Authorization API 用于管理 attestors、IAM policy 与镜像验证流程,面向 GKE 和 Anthos 的发布门禁。

Business Profile Performance API

Business Profile Performance API 能拉取 location 指标时间序列和 search keyword impressions,服务 Google 商家资料分析。

Calendar API

Google Calendar API 让应用程序化创建、读取、更新日历事件,是日程类应用最常用的集成。