Vous pouvez protéger les ressources non Firebase de votre application, telles que les backends auto-hébergés, avec App Check. Pour ce faire, vous devrez effectuer les deux opérations suivantes :
- Modifiez votre client d'application pour envoyer un jeton App Check avec chaque demande à votre backend, comme décrit sur cette page.
- Modifiez votre backend pour exiger un jeton App Check valide avec chaque demande, comme décrit dans Vérifier les jetons App Check à partir d'un backend personnalisé .
Avant que tu commences
Ajoutez App Check à votre application, en utilisant soit le fournisseur Play Integrity par défaut, soit un fournisseur personnalisé .
Envoyer des jetons App Check avec des requêtes backend
Pour vous assurer que vos demandes backend incluent un jeton App Check valide et non expiré, enveloppez chaque demande dans un appel à getAppCheckToken()
. La bibliothèque App Check actualisera le jeton si nécessaire et vous pourrez accéder au jeton dans l'écouteur de réussite de la méthode.
Une fois que vous disposez d'un jeton valide, envoyez-le avec la demande à votre backend. Les détails de la manière dont vous y parvenez dépendent de vous, mais n'envoyez pas de jetons App Check dans le cadre des URL , y compris dans les paramètres de requête, car cela les rend vulnérables aux fuites et interceptions accidentelles. L'approche recommandée consiste à envoyer le jeton dans un en-tête HTTP personnalisé.
Par exemple, si vous utilisez Retrofit :
Kotlin+KTX
class ApiWithAppCheckExample { interface YourExampleBackendService { @GET("yourExampleEndpoint") fun exampleData( @Header("X-Firebase-AppCheck") appCheckToken: String, ): Call<List<String>> } var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService::class.java) fun callApiExample() { Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken -> val token = appCheckToken.token val apiCall = yourExampleBackendService.exampleData(token) // ... } } }
Java
public class ApiWithAppCheckExample { private interface YourExampleBackendService { @GET("yourExampleEndpoint") Call<List<String>> exampleData( @Header("X-Firebase-AppCheck") String appCheckToken); } YourExampleBackendService yourExampleBackendService = new Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService.class); public void callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(@NonNull AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); Call<List<String>> apiCall = yourExampleBackendService.exampleData(token); // ... } }); } }
Protection contre la relecture (bêta)
Lorsque vous envoyez une requête à un point de terminaison pour lequel vous avez activé la protection contre la relecture , enveloppez la requête dans un appel à getLimitedUseAppCheckToken()
au lieu de getAppCheckToken()
:
Kotlin+KTX
Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener { // ... }
Java
FirebaseAppCheck.getInstance() .getLimitedUseAppCheckToken().addOnSuccessListener( new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); // ... } } );