Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Firebase App Checkを実装したので紹介
Search
Yohei Iino
November 02, 2024
Technology
0
49
Firebase App Checkを実装したので紹介
Firebase App Checkを実装したので紹介
Yohei Iino
November 02, 2024
Tweet
Share
More Decks by Yohei Iino
See All by Yohei Iino
作成中のFlutterアプリの中間発表
wheatandcat
0
13
最近読んだ技術書を簡単紹介
wheatandcat
0
30
ユニバーサルリンク/アプリリンクを使ってQRコードでゲストログインできるようにする
wheatandcat
0
30
PlanetScaleの無料プランがなくなるので、NeonとTiDBを試してみた
wheatandcat
0
160
Flutter HooksとRiverpodの解説
wheatandcat
0
240
T3 Stack(応用編: Next Auth & SSRの実装紹介)
wheatandcat
1
240
App Routerの紹介
wheatandcat
0
69
Flutter × GraphQLでアプリを作ってみる
wheatandcat
0
230
T3 Stack + Supabaseでアプリを作ってみる
wheatandcat
0
210
Other Decks in Technology
See All in Technology
今から、 今だからこそ始める Terraform で Azure 管理 / Managing Azure with Terraform: The Perfect Time to Start
nnstt1
0
240
深層学習と3Dキャプチャ・3Dモデル生成(土木学会応用力学委員会 応用数理・AIセミナー)
pfn
PRO
0
460
タイミーのデータ活用を支えるdbt Cloud導入とこれから
ttccddtoki
1
150
【Oracle Cloud ウェビナー】2025年のセキュリティ脅威を読み解く:リスクに備えるためのレジリエンスとデータ保護
oracle4engineer
PRO
1
100
dbtを中心にして組織のアジリティとガバナンスのトレードオンを考えてみた
gappy50
0
280
駆け出しリーダーとしての第一歩〜開発チームとの新しい関わり方〜 / Beginning Journey as Team Leader
kaonavi
0
120
今年一年で頑張ること / What I will do my best this year
pauli
1
220
「隙間家具OSS」に至る道/Fujiwara Tech Conference 2025
fujiwara3
7
6.5k
メンバーがオーナーシップを発揮しやすいチームづくり
ham0215
2
140
ABWGのRe:Cap!
hm5ug
1
120
Amazon Route 53, 待ちに待った TLSAレコードのサポート開始
kenichinakamura
0
170
AIアプリケーション開発でAzure AI Searchを使いこなすためには
isidaitc
0
110
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
44
13k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
127
18k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
28
4.5k
The World Runs on Bad Software
bkeepers
PRO
66
11k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
500
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
Visualization
eitanlees
146
15k
The Cult of Friendly URLs
andyhume
78
6.1k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Code Review Best Practice
trishagee
65
17k
Designing Experiences People Love
moore
139
23k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
Transcript
Firebase App Checkを実装したので紹介 Press Space for next page
自己紹介 📝 飯野陽平(wheatandcat) 🏢 会社: 合同会社UNICORN 代表社員 📚 Blog: https://www.wheatandcat.me/
🛠 今までに作ったもの memoir OOMAKA MarkyLinky
Firebase App Check Firebase App Check Firebase App Checkは、アプリが正当なものであることを確認して、不正なアクセスを防ぐためのFirebase が提供しているセキュリティ機能
各プラットフォームで保護を行うことができる iOS DeviceCheck Android Play Integrity Web reCAPTCHA v3
DeviceCheck DeviceCheck Appleが提供するフレームワークで、Appleのサーバーと通信して端末情報を取得して不正なアクセスを防ぐ のに使用されている 各iOS端末でのアプリをインストール、アンインストールの情報をApple側で管理しており、フレームワーク を使用して、その情報を元にトークンを生成、認証の仕組みを行うことができる 正式にアプリをインストールした端末からしかトークンが発行できないので、クローリングやbotからのアク セスを防ぐことができる
Play Integrity Play Integrity Googleが提供するフレームワークで、Googleのサーバーと通信して端末情報を取得して不正なアクセスを 防ぐのに使用されている 基本的にはDeviceCheckのAndroid版 Play Integrityを使用することで、現在アクセスしているアプリがPlay Storeからインストールされたものか
判別できる AndroidはiOSよりも簡単に野良アプリをインストール可能なので、そういったアプリからのアクセスを防ぐ ことができる
Firebase App Checkの機能 以下のリソースに対して保護を行うことができる 各Firebaseのリソース Storage Functions Firestore Authentication etc
※ モニタリングの情報をDEMOで表示 Firebase以外のリソースの場合は実装すれば保護が可能 カスタム バックエンドから App Check トークンを検証する
Firebase App Checkのデバッグトークン① App Checkを実装するとストアからインストールされたアプリしかアクセスできなくなるので、そのままだ と開発時にアクセスできなくなってしまう そのため、開発時はデバッグトークンを使用してアクセスできるようにする
Firebase App Checkのデバッグトークン② デバッグトークンはProviderをdebugにすることで有効になる アプリを起動するとデバッグトークンが発行されて、コンソールに設定するとアクセスが可能になる ※デバッグトークンの表示は以下を参考 FlutterでFirebase App Checkに対応(+Firebase App
Distributionで配信時の対応) await FirebaseAppCheck.instance.activate( androidProvider: kReleaseMode ? AndroidProvider.playIntegrity : AndroidProvider.debug, appleProvider: kReleaseMode ? AppleProvider.deviceCheck : AppleProvider.debug, );
App Checkの実装① 実装環境 アプリ: Flutter バックエンド: NestJS 事前準備 DeviceCheckの導入 参考:【Flutter】App
Check を導入して Firebase を守ろう!(DeviceCheck) Play Integrityの導入 参考:【Flutter】App Check を導入して Firebase を守ろう!(Play Integrity)
App Checkの実装② PR Firebase App Check実装 backendの実装 対象コード アプリの実装 対象コード1
対象コード2
App Checkの実装③ App Checkを実装した状態でトークンなしでAPIにアクセスするとエラーが発生してアクセスできない
まとめ Firebase App Checkを導入することで不正アクセスを防ぐことができる 開発時はデバッグトークンを使用してアクセスできる デバッグトークンはアプリを再インストールする毎に変更されるので、その度にコンソールに設定する必要 があるので複数人開発では運用を考える必要がある Firebase App Distributionを使って配信した場合に、AndroidだとPlay
Integrityでエラーにされてしまうの で注意(今回の開発だとAndroid側は本番以外はデバッグトークンを使用して認証させた)
ご清聴ありがとうございました 🎉
wheatandcat
nnstt1
pfn
ttccddtoki
oracle4engineer
gappy50
kaonavi
pauli
fujiwara3
ham0215
hm5ug
kenichinakamura
isidaitc
quramy
morganepeng
kevinliebholz
bkeepers
irinanazarova
eileencodes
eitanlees
andyhume
chriscoyier
trishagee
moore
danielanewman
