Você pode proteger os recursos que não são do Firebase do seu aplicativo, como back-ends auto-hospedados, com o App Check. Para fazer isso, você precisará fazer os dois procedimentos a seguir:
- Modifique seu cliente de aplicativo para enviar um token de verificação de aplicativo junto com cada solicitação para seu back-end, conforme descrito nesta página.
- Modifique seu back-end para exigir um token válido do App Check a cada solicitação, conforme descrito em Verificar tokens do App Check de um back-end personalizado .
Antes de você começar
Adicione o App Check ao seu aplicativo usando o provedor Play Integrity padrão ou um provedor personalizado .
Enviar tokens do App Check com solicitações de back-end
Para garantir que suas solicitações de back-end incluam um token de verificação de aplicativo válido e não expirado, envolva cada solicitação em uma chamada para getAppCheckToken()
. A biblioteca App Check atualizará o token, se necessário, e você poderá acessar o token no ouvinte de sucesso do método.
Assim que tiver um token válido, envie-o junto com a solicitação para o seu back-end. Os detalhes de como fazer isso dependem de você, mas não envie tokens do App Check como parte de URLs , inclusive em parâmetros de consulta, pois isso os torna vulneráveis a vazamentos e interceptações acidentais. A abordagem recomendada é enviar o token em um cabeçalho HTTP personalizado.
Por exemplo, se você usar o Retrofit:
Kotlin+KTX
class ApiWithAppCheckExample { interface YourExampleBackendService { @GET("yourExampleEndpoint") fun exampleData( @Header("X-Firebase-AppCheck") appCheckToken: String ): Call<List<String>> } var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService::class.java) fun callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener { tokenResponse -> val appCheckToken = tokenResponse.token val apiCall = yourExampleBackendService.exampleData(appCheckToken) // ... } } }
Java
public class ApiWithAppCheckExample { private interface YourExampleBackendService { @GET("yourExampleEndpoint") Call<List<String>> exampleData( @Header("X-Firebase-AppCheck") String appCheckToken); } YourExampleBackendService yourExampleBackendService = new Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService.class); public void callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(@NonNull AppCheckToken tokenResponse) { String appCheckToken = tokenResponse.getToken(); Call<List<String>> apiCall = yourExampleBackendService.exampleData(appCheckToken); // ... } }); } }