حماية الموارد غير التابعة لمنصة Firebase باستخدام ميزة "فحص التطبيق" على نظام التشغيل Android

يمكنك حماية موارد تطبيقك التي ليست ضِمن Firebase، مثل الخلفيات التي تتم استضافتها ذاتيًا. مع App Check. ولإجراء ذلك، سيتعيّن عليك إجراء ما يلي:

قبل البدء

أضِف App Check إلى تطبيقك، باستخدام إما الإصدار التلقائي. موفّر Play Integrity أو مقدّم خدمة مخصّص.

إرسال رمزَين مميّزَين (App Check) مع طلبات الخلفية

للتأكّد من أنّ طلباتك الخلفية تتضمّن رمز App Check مميّزًا صالحًا وغير منتهي الصلاحية، يجب إحاطة كل طلب بمكالمة إلى getAppCheckToken(). مكتبة App Check تحديث الرمز المميز إذا لزم الأمر، ويمكنك الوصول إلى الرمز في مستمع نجاح الطريقة.

بعد توفّر رمز مميّز صالح، أرسِله مع الطلب إلى الواجهة الخلفية. تشير رسالة الأشكال البيانية محددة حول كيفية إنجاز هذا الأمر متروك لك، لكن لا ترسل رموز App Check المميزة كجزء من عناوين URL، بما في ذلك في معلَمات طلب البحث، على النحو التالي تجعلها عرضة للتسرُّب والاعتراض غير المقصود. الموصى بها هو إرسال الرمز المميز في عنوان HTTP مخصص.

على سبيل المثال، في حالة استخدام ميزة التحديث:

Kotlin+KTX

class ApiWithAppCheckExample {
    interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        fun exampleData(
            @Header("X-Firebase-AppCheck") appCheckToken: String,
        ): Call<List<String>>
    }

    var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder()
        .baseUrl("https://yourbackend.example.com/")
        .build()
        .create(YourExampleBackendService::class.java)

    fun callApiExample() {
        Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken ->
            val token = appCheckToken.token
            val apiCall = yourExampleBackendService.exampleData(token)
            // ...
        }
    }
}

Java

public class ApiWithAppCheckExample {
    private interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        Call<List<String>> exampleData(
                @Header("X-Firebase-AppCheck") String appCheckToken);
    }

    YourExampleBackendService yourExampleBackendService = new Retrofit.Builder()
            .baseUrl("https://yourbackend.example.com/")
            .build()
            .create(YourExampleBackendService.class);

    public void callApiExample() {
        FirebaseAppCheck.getInstance()
                .getAppCheckToken(false)
                .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(@NonNull AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        Call<List<String>> apiCall =
                                yourExampleBackendService.exampleData(token);
                        // ...
                    }
                });
    }
}

ميزة "الحماية من إعادة التشغيل" (ميزة تجريبية)

عند تقديم طلب إلى نقطة نهاية فعّلتها حماية إعادة التشغيل عليك إحاطة الطلب بمكالمة إلى getLimitedUseAppCheckToken() بدلاً من getAppCheckToken():

Kotlin+KTX

Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener {
    // ...
}

Java

FirebaseAppCheck.getInstance()
        .getLimitedUseAppCheckToken().addOnSuccessListener(
                new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        // ...
                    }
                }
        );