Android'de Uygulama Kontrolü ile Firebase dışı kaynakları koruyun

Uygulama Kontrolü ile uygulamanızın kendi kendine barındırılan arka uçlar gibi Firebase dışı kaynaklarını koruyabilirsiniz. Bunu yapmak için, aşağıdakilerin ikisini de yapmanız gerekir:

• Bu sayfada açıklandığı gibi, her istekle birlikte arka ucunuza bir Uygulama Kontrolü belirteci göndermek için uygulama istemcinizi değiştirin.
• Özel bir arka uçtan Uygulama Kontrolü belirteçlerini doğrulama bölümünde açıklandığı gibi, her istekte geçerli bir Uygulama Kontrolü belirteci gerektirecek şekilde arka ucunuzu değiştirin.

Sen başlamadan önce

Varsayılan Play Integrity sağlayıcısını veya özel bir sağlayıcıyı kullanarak uygulamanıza Uygulama Kontrolü ekleyin.

Arka uç istekleriyle Uygulama Kontrolü belirteçleri gönderin

Arka uç isteklerinizin geçerli, süresi dolmamış bir Uygulama Kontrolü belirteci içerdiğinden emin olmak için her isteği bir getAppCheckToken() çağrısına sarın. Uygulama Kontrolü kitaplığı gerekirse belirteci yeniler ve belirtecine yöntemin başarı dinleyicisinden erişebilirsiniz.

Geçerli bir jetonunuz olduğunda, bunu istekle birlikte arka ucunuza gönderin. Bunu nasıl gerçekleştireceğinizin ayrıntıları size bağlıdır, ancak Uygulama Kontrolü belirteçlerini URL'lerin bir parçası olarak göndermeyin , sorgu parametreleri dahil, çünkü bu onları yanlışlıkla sızıntıya ve ele geçirmeye karşı savunmasız hale getirir. Önerilen yaklaşım, belirteci özel bir HTTP başlığında göndermektir.

Örneğin, Retrofit kullanıyorsanız:

class ApiWithAppCheckExample {
    interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        fun exampleData(
            @Header("X-Firebase-AppCheck") appCheckToken: String,
        ): Call<List<String>>
    }

    var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder()
        .baseUrl("https://yourbackend.example.com/")
        .build()
        .create(YourExampleBackendService::class.java)

    fun callApiExample() {
        FirebaseAppCheck.getInstance()
            .getAppCheckToken(false)
            .addOnSuccessListener { tokenResponse ->
                val appCheckToken = tokenResponse.token
                val apiCall = yourExampleBackendService.exampleData(appCheckToken)
                // ...
            }
    }
}

public class ApiWithAppCheckExample {
    private interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        Call<List<String>> exampleData(
                @Header("X-Firebase-AppCheck") String appCheckToken);
    }

    YourExampleBackendService yourExampleBackendService = new Retrofit.Builder()
            .baseUrl("https://yourbackend.example.com/")
            .build()
            .create(YourExampleBackendService.class);

    public void callApiExample() {
        FirebaseAppCheck.getInstance()
                .getAppCheckToken(false)
                .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(@NonNull AppCheckToken tokenResponse) {
                        String appCheckToken = tokenResponse.getToken();
                        Call<List<String>> apiCall =
                                yourExampleBackendService.exampleData(appCheckToken);
                        // ...
                    }
                });
    }
}

Tekrar koruması (beta)

Yeniden oynatma korumasını etkinleştirdiğiniz bir uç noktaya istekte bulunurken, isteği getLimitedUseAppCheckToken() yerine getAppCheckToken() çağrısına sarın:

FirebaseAppCheck.getInstance()
    .getLimitedUseAppCheckToken()
    .addOnSuccessListener { tokenResponse ->
        // ...
    }

FirebaseAppCheck.getInstance()
    .getLimitedUseAppCheckToken()
    .addOnSuccessListener(/* ... */);