אתם יכולים להשתמש ב-App Check כדי להגן על משאבי קצה עורפי בהתאמה אישית שלא שייכים ל-Google באפליקציה שלכם, כמו קצה עורפי באירוח עצמי. כדי לעשות זאת, תצטרכו לבצע את שתי הפעולות הבאות:
- משנים את לקוח האפליקציה כדי לשלוח טוקן App Check עם כל בקשה לשרת העורפי, כמו שמתואר בדף הזה.
- משנים את הקצה העורפי כך שיידרש אסימון App Check תקף בכל בקשה, כמו שמתואר במאמר אימות אסימוני App Check מקצה עורפי בהתאמה אישית.
לפני שמתחילים
מוסיפים את App Check לאפליקציה באמצעות ספק ברירת המחדל של Play Integrity או ספק בהתאמה אישית.
שליחת טוקנים של App Check עם בקשות מהקצה העורפי
כדי לוודא שהבקשות לשרת העורפי כוללות טוקן App Check תקף שלא פג תוקפו, צריך להוסיף כל בקשה לקריאה ל-getAppCheckToken(). ספריית App Check תרענן את הטוקן אם יהיה צורך בכך, ותוכלו לגשת לטוקן במאזין ההצלחה של השיטה.
אחרי שמקבלים טוקן תקין, שולחים אותו עם הבקשה לבק-אנד. אתם יכולים לבחור איך לעשות את זה, אבל אל תשלחו טוקנים של App Check כחלק מכתובות URL, כולל בפרמטרים של שאילתות, כי כך הם חשופים לדליפה מקרית וליירוט. הגישה המומלצת היא לשלוח את הטוקן בכותרת HTTP מותאמת אישית.
לדוגמה, אם משתמשים ב-Retrofit:
Kotlin
class ApiWithAppCheckExample { interface YourExampleBackendService { @GET("yourExampleEndpoint") fun exampleData( @Header("X-Firebase-AppCheck") appCheckToken: String, ): Call<List<String>> } var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService::class.java) fun callApiExample() { Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken -> val token = appCheckToken.token val apiCall = yourExampleBackendService.exampleData(token) // ... } } }
Java
public class ApiWithAppCheckExample { private interface YourExampleBackendService { @GET("yourExampleEndpoint") Call<List<String>> exampleData( @Header("X-Firebase-AppCheck") String appCheckToken); } YourExampleBackendService yourExampleBackendService = new Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService.class); public void callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(@NonNull AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); Call<List<String>> apiCall = yourExampleBackendService.exampleData(token); // ... } }); } }
הגנה מפני הפעלה חוזרת (בטא)
כששולחים בקשה לנקודת קצה שהפעלתם עבורה הגנה מפני הפעלה חוזרת, צריך לעטוף את הבקשה בקריאה ל-getLimitedUseAppCheckToken() במקום ל-getAppCheckToken():
Kotlin
Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener { // ... }
Java
FirebaseAppCheck.getInstance() .getLimitedUseAppCheckToken().addOnSuccessListener( new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); // ... } } );