在 iOS 上,Firebase 的 AppCheck 使用 Apple 的 DeviceCheck/AppAttest 提供程序来验证来自用户的服务器请求。AppAttest 提供了许多使客户合法化的方法,我的问题是:AppCheck 是否都实现了它们?如果没有,我在哪里可以看到 AppCheck 实际使用 AppAttest 的方式?
感谢您的关注!
问问题
139 次
1 回答
0
让我简要介绍一下 Firebase App Check 如何使用 App Attest:
最初,Firebase SDK 几乎按照建立您的应用程序的完整性 文章的第一步创建和认证密钥对。
App Attest 证明数据被发送到 Firebase 服务器进行验证(有关验证的更多详细信息,请参阅下面的验证连接到您的服务器的应用程序一文)。作为有效证明的交换,服务器将传递给 SDK:
- 使用 Firebase 为您的应用生成的密钥加密的证明工件。工件包含应用程序实例数据,包括应用程序证明密钥 ID,以便稍后生成断言。
- 可以附加到请求以证明其有效性的 Firebase 应用检查令牌。Firebase 应用检查令牌的寿命相对较短。可以在 Firebase 控制台中根据您的应用需求配置其过期时间。
当 Firebase App Check 令牌过期时,它会使用基于证明工件、App Attest 密钥 ID 和从 Firebase 服务器请求的非常短暂的质询生成的 App Attest 断言进行刷新。
另请注意,我们的 SDK 是开源的,您可以在我们的GitHub 存储库中查看实现细节。大多数 App Attest 实现都可以在此目录中找到。
于 2021-08-20T15:20:47.490 回答