Protege recursos de backend personalizados con la Verificación de aplicaciones en Android

Puedes usar App Check para proteger los recursos de backend personalizados que no sean de Google de tu app, como tu propio backend autoalojado. Para ello, deberás hacer lo siguiente:

Antes de comenzar

Agrega App Check a tu app con el proveedor de Play Integrity predeterminado o un proveedor personalizado.

Envía tokens de App Check con solicitudes de backend

Para garantizar que las solicitudes de backend incluyan un token de App Check válido que no haya vencido, une cada solicitud en una llamada a getAppCheckToken(). La biblioteca de App Check actualizará el token de ser necesario. Además, puedes acceder al token en el objeto de escucha que detecta el resultado correcto del método.

Una vez que tengas un token válido, envíalo junto con la solicitud al backend. Tú decides los detalles para lograr hacer esto, pero no envíes tokens de App Check como parte de las URLs, incluidos los parámetros de consulta, ya que esto los hace vulnerables a intercepciones y filtraciones accidentales. El enfoque recomendado es enviar el token en un encabezado HTTP personalizado.

Por ejemplo, si usas Retrofit, haz lo siguiente:

Kotlin

class ApiWithAppCheckExample {
    interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        fun exampleData(
            @Header("X-Firebase-AppCheck") appCheckToken: String,
        ): Call<List<String>>
    }

    var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder()
        .baseUrl("https://yourbackend.example.com/")
        .build()
        .create(YourExampleBackendService::class.java)

    fun callApiExample() {
        Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken ->
            val token = appCheckToken.token
            val apiCall = yourExampleBackendService.exampleData(token)
            // ...
        }
    }
}

Java

public class ApiWithAppCheckExample {
    private interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        Call<List<String>> exampleData(
                @Header("X-Firebase-AppCheck") String appCheckToken);
    }

    YourExampleBackendService yourExampleBackendService = new Retrofit.Builder()
            .baseUrl("https://yourbackend.example.com/")
            .build()
            .create(YourExampleBackendService.class);

    public void callApiExample() {
        FirebaseAppCheck.getInstance()
                .getAppCheckToken(false)
                .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(@NonNull AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        Call<List<String>> apiCall =
                                yourExampleBackendService.exampleData(token);
                        // ...
                    }
                });
    }
}

Protección contra la repetición (beta)

Cuando realices una solicitud a un extremo para el que habilitaste la protección contra la repetición, une la solicitud en una llamada a getLimitedUseAppCheckToken() en lugar de getAppCheckToken():

Kotlin

Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener {
    // ...
}

Java

FirebaseAppCheck.getInstance()
        .getLimitedUseAppCheckToken().addOnSuccessListener(
                new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        // ...
                    }
                }
        );