Bảo vệ tài nguyên không phải Firebase bằng Kiểm tra ứng dụng trên Android

Bạn có thể bảo vệ các tài nguyên không phải Firebase của ứng dụng, chẳng hạn như các chương trình phụ trợ tự lưu trữ, bằng Kiểm tra ứng dụng. Để làm như vậy, bạn sẽ cần phải thực hiện cả hai điều sau:

  • Sửa đổi ứng dụng khách ứng dụng của bạn để gửi mã thông báo Kiểm tra ứng dụng cùng với từng yêu cầu tới chương trình phụ trợ của bạn, như được mô tả trên trang này.
  • Sửa đổi chương trình phụ trợ của bạn để yêu cầu mã thông báo Kiểm tra ứng dụng hợp lệ với mọi yêu cầu, như được mô tả trong Xác minh mã thông báo Kiểm tra ứng dụng từ chương trình phụ trợ tùy chỉnh .

Trước khi bắt đầu

Thêm Kiểm tra ứng dụng vào ứng dụng của bạn bằng cách sử dụng nhà cung cấp Tính toàn vẹn của Play mặc định hoặc nhà cung cấp tùy chỉnh .

Gửi mã thông báo kiểm tra ứng dụng với các yêu cầu phụ trợ

Để đảm bảo các yêu cầu phụ trợ của bạn bao gồm mã thông báo Kiểm tra ứng dụng hợp lệ, chưa hết hạn, hãy gói từng yêu cầu trong một lệnh gọi tới getAppCheckToken() . Thư viện Kiểm tra ứng dụng sẽ làm mới mã thông báo nếu cần và bạn có thể truy cập mã thông báo trong trình xử lý thành công của phương thức.

Khi bạn có mã thông báo hợp lệ, hãy gửi nó cùng với yêu cầu đến chương trình phụ trợ của bạn. Thông tin cụ thể về cách bạn thực hiện việc này tùy thuộc vào bạn, nhưng đừng gửi mã thông báo Kiểm tra ứng dụng như một phần của URL , kể cả trong các tham số truy vấn, vì điều này khiến chúng dễ bị rò rỉ và chặn do vô tình. Cách tiếp cận được đề xuất là gửi mã thông báo trong tiêu đề HTTP tùy chỉnh.

Ví dụ: nếu bạn sử dụng Retrofit:

Kotlin+KTX

class ApiWithAppCheckExample {
    interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        fun exampleData(
            @Header("X-Firebase-AppCheck") appCheckToken: String,
        ): Call<List<String>>
    }

    var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder()
        .baseUrl("https://yourbackend.example.com/")
        .build()
        .create(YourExampleBackendService::class.java)

    fun callApiExample() {
        Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken ->
            val token = appCheckToken.token
            val apiCall = yourExampleBackendService.exampleData(token)
            // ...
        }
    }
}

Java

public class ApiWithAppCheckExample {
    private interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        Call<List<String>> exampleData(
                @Header("X-Firebase-AppCheck") String appCheckToken);
    }

    YourExampleBackendService yourExampleBackendService = new Retrofit.Builder()
            .baseUrl("https://yourbackend.example.com/")
            .build()
            .create(YourExampleBackendService.class);

    public void callApiExample() {
        FirebaseAppCheck.getInstance()
                .getAppCheckToken(false)
                .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(@NonNull AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        Call<List<String>> apiCall =
                                yourExampleBackendService.exampleData(token);
                        // ...
                    }
                });
    }
}

Bảo vệ phát lại (beta)

Khi đưa ra yêu cầu tới điểm cuối mà bạn đã bật tính năng bảo vệ chống lặp lại , hãy gói yêu cầu đó vào cuộc gọi tới getLimitedUseAppCheckToken() thay vì getAppCheckToken() :

Kotlin+KTX

Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener {
    // ...
}

Java

FirebaseAppCheck.getInstance()
        .getLimitedUseAppCheckToken().addOnSuccessListener(
                new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        // ...
                    }
                }
        );