Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Firebase App Checkを実装したので紹介

Avatar for Yohei Iino Yohei Iino
November 02, 2024
Technology
0
120

Firebase App Checkを実装したので紹介

Firebase App Checkを実装したので紹介

Avatar for Yohei Iino

Yohei Iino

November 02, 2024
Tweet

More Decks by Yohei Iino

See All by Yohei Iino
1年半放置したExpo製アプリを最新化してみた
Avatar for Yohei Iino wheatandcat
0
43
作成中のFlutterアプリの中間発表
Avatar for Yohei Iino wheatandcat
0
42
最近読んだ技術書を簡単紹介
Avatar for Yohei Iino wheatandcat
0
64
ユニバーサルリンク/アプリリンクを使ってQRコードでゲストログインできるようにする
Avatar for Yohei Iino wheatandcat
0
120
PlanetScaleの無料プランがなくなるので、NeonとTiDBを試してみた
Avatar for Yohei Iino wheatandcat
0
280
Flutter HooksとRiverpodの解説
Avatar for Yohei Iino wheatandcat
0
390
T3 Stack(応用編: Next Auth & SSRの実装紹介)
Avatar for Yohei Iino wheatandcat
1
340
App Routerの紹介
Avatar for Yohei Iino wheatandcat
0
100
Flutter × GraphQLでアプリを作ってみる
Avatar for Yohei Iino wheatandcat
0
280

Other Decks in Technology

See All in Technology
大規模イベントに向けた ABEMA アーキテクチャの遍歴 ~ Platform Strategy 詳細解説 ~
Avatar for Katsutoshi Nagaoka nagapad
0
190
Claude Codeが働くAI中心の業務システム構築の挑戦―AIエージェント中心の働き方を目指して
Avatar for os1ma os1ma
9
1.5k
마라톤 끝의 단거리 스퍼트: 2025년의 AI
Avatar for Jeongkyu Shin inureyes
PRO
1
680
Findy Freelance 利用シーン別AI活用例
Avatar for nesskazu ness
0
290
AI人生苦節10年で会得したAIがやること_人間がやること.pdf
Avatar for shibuiwilliam shibuiwilliam
1
270
20250807_Kiroと私の反省会
Avatar for Rika.I riz3f7
0
130
20250728 MCP, A2A and Multi-Agents in the future
Avatar for 吉田真吾 yoshidashingo
1
210
Claude Codeは仕様駆動の夢を見ない
Avatar for Gota gotalab555
2
320
Rubyの国のPerlMonger
Avatar for AnaTofuZ anatofuz
3
730
【CEDEC2025】現場を理解して実現!ゲーム開発を効率化するWebサービスの開発と、利用促進のための継続的な改善
Avatar for Cygames cygames
PRO
0
720
AIのグローバルトレンド 2025 / ai global trend 2025
Avatar for kyonmm kyonmm
PRO
1
120
猫でもわかるQ_CLI(CDK開発編)+ちょっとだけKiro
Avatar for Hiroo Katoh kentapapa
0
3.4k

Featured

See All Featured
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
160
23k
Navigating Team Friction
Avatar for Lara Hogan lara
188
15k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.6k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
58
9.5k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
62k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.5k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
A better future with KSS
Avatar for Kyle Neath kneath
238
17k

Transcript

  1. Firebase App Checkを実装したので紹介 Press Space for next page

  2. 自己紹介 📝 飯野陽平(wheatandcat) 🏢 会社: 合同会社UNICORN 代表社員 📚 Blog: https://www.wheatandcat.me/

    🛠 今までに作ったもの memoir OOMAKA MarkyLinky

  3. Firebase App Check Firebase App Check Firebase App Checkは、アプリが正当なものであることを確認して、不正なアクセスを防ぐためのFirebase が提供しているセキュリティ機能

    各プラットフォームで保護を行うことができる iOS DeviceCheck Android Play Integrity Web reCAPTCHA v3

  4. DeviceCheck DeviceCheck Appleが提供するフレームワークで、Appleのサーバーと通信して端末情報を取得して不正なアクセスを防ぐ のに使用されている 各iOS端末でのアプリをインストール、アンインストールの情報をApple側で管理しており、フレームワーク を使用して、その情報を元にトークンを生成、認証の仕組みを行うことができる 正式にアプリをインストールした端末からしかトークンが発行できないので、クローリングやbotからのアク セスを防ぐことができる

  5. Play Integrity Play Integrity Googleが提供するフレームワークで、Googleのサーバーと通信して端末情報を取得して不正なアクセスを 防ぐのに使用されている 基本的にはDeviceCheckのAndroid版 Play Integrityを使用することで、現在アクセスしているアプリがPlay Storeからインストールされたものか

    判別できる AndroidはiOSよりも簡単に野良アプリをインストール可能なので、そういったアプリからのアクセスを防ぐ ことができる

  6. Firebase App Checkの機能 以下のリソースに対して保護を行うことができる 各Firebaseのリソース Storage Functions Firestore Authentication etc

    ※ モニタリングの情報をDEMOで表示 Firebase以外のリソースの場合は実装すれば保護が可能 カスタム バックエンドから App Check トークンを検証する

  7. Firebase App Checkのデバッグトークン① App Checkを実装するとストアからインストールされたアプリしかアクセスできなくなるので、そのままだ と開発時にアクセスできなくなってしまう そのため、開発時はデバッグトークンを使用してアクセスできるようにする

  8. Firebase App Checkのデバッグトークン② デバッグトークンはProviderをdebugにすることで有効になる アプリを起動するとデバッグトークンが発行されて、コンソールに設定するとアクセスが可能になる ※デバッグトークンの表示は以下を参考 FlutterでFirebase App Checkに対応(+Firebase App

    Distributionで配信時の対応) await FirebaseAppCheck.instance.activate( androidProvider: kReleaseMode ? AndroidProvider.playIntegrity : AndroidProvider.debug, appleProvider: kReleaseMode ? AppleProvider.deviceCheck : AppleProvider.debug, );

  9. App Checkの実装① 実装環境 アプリ: Flutter バックエンド: NestJS 事前準備 DeviceCheckの導入 参考:【Flutter】App

    Check を導入して Firebase を守ろう!(DeviceCheck) Play Integrityの導入 参考:【Flutter】App Check を導入して Firebase を守ろう!(Play Integrity)

  10. App Checkの実装② PR Firebase App Check実装 backendの実装 対象コード アプリの実装 対象コード1

    対象コード2

  11. App Checkの実装③ App Checkを実装した状態でトークンなしでAPIにアクセスするとエラーが発生してアクセスできない

  12. まとめ Firebase App Checkを導入することで不正アクセスを防ぐことができる 開発時はデバッグトークンを使用してアクセスできる デバッグトークンはアプリを再インストールする毎に変更されるので、その度にコンソールに設定する必要 があるので複数人開発では運用を考える必要がある Firebase App Distributionを使って配信した場合に、AndroidだとPlay

    Integrityでエラーにされてしまうの で注意(今回の開発だとAndroid側は本番以外はデバッグトークンを使用して認証させた)

  13. ご清聴ありがとうございました 🎉