Mediante la Verificación de aplicaciones, puedes proteger recursos de la app que no son de Firebase, como los backends autoalojados. Para ello, deberás hacer lo siguiente:
- Modifica el cliente de la app para que envíe un token de Verificación de aplicaciones junto con cada solicitud al backend, como se describe en esta página.
- Modifica tu backend para que requiera un token válido de Verificación de aplicaciones con cada solicitud, como se describe en Verifica los tokens de la Verificación de aplicaciones en un backend personalizado.
Antes de comenzar
Agrega la Verificación de aplicaciones a la app mediante el proveedor de Play Integrity predeterminado o un proveedor personalizado.
Envía tokens de la Verificación de aplicaciones con solicitudes de backend
Para garantizar que las solicitudes de backend incluyan un token válido de la Verificación de aplicaciones que no haya vencido, une cada solicitud en una llamada a getAppCheckToken(). La biblioteca de la Verificación de aplicaciones actualizará el token de ser necesario. Además, puedes acceder al token en el objeto de escucha que detecta el resultado correcto del método.
Una vez que tengas un token válido, envíalo junto con la solicitud al backend. Tú decides los detalles para lograr hacer esto, pero no envíes tokens de la Verificación de aplicaciones como parte de las URL, incluidos los parámetros de búsqueda, ya que esto los hace vulnerables a intercepciones y filtraciones accidentales. El enfoque recomendado es enviar el token en un encabezado HTTP personalizado.
Por ejemplo, si usas Retrofit, haz lo siguiente:
Kotlin+KTX
class ApiWithAppCheckExample {
interface YourExampleBackendService {
@GET("yourExampleEndpoint")
fun exampleData(
@Header("X-Firebase-AppCheck") appCheckToken: String,
): Call<List<String>>
}
var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder()
.baseUrl("https://yourbackend.example.com/")
.build()
.create(YourExampleBackendService::class.java)
fun callApiExample() {
Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken ->
val token = appCheckToken.token
val apiCall = yourExampleBackendService.exampleData(token)
// ...
}
}
}Java
public class ApiWithAppCheckExample {
private interface YourExampleBackendService {
@GET("yourExampleEndpoint")
Call<List<String>> exampleData(
@Header("X-Firebase-AppCheck") String appCheckToken);
}
YourExampleBackendService yourExampleBackendService = new Retrofit.Builder()
.baseUrl("https://yourbackend.example.com/")
.build()
.create(YourExampleBackendService.class);
public void callApiExample() {
FirebaseAppCheck.getInstance()
.getAppCheckToken(false)
.addOnSuccessListener(new OnSuccessListener<AppCheckToken>() {
@Override
public void onSuccess(@NonNull AppCheckToken appCheckToken) {
String token = appCheckToken.getToken();
Call<List<String>> apiCall =
yourExampleBackendService.exampleData(token);
// ...
}
});
}
}Protección contra la repetición (beta)
Cuando realices una solicitud a un extremo para el que habilitaste la
protección contra la repetición, une la solicitud en una llamada a getLimitedUseAppCheckToken() en lugar de
getAppCheckToken():
Kotlin+KTX
Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener {
// ...
}Java
FirebaseAppCheck.getInstance()
.getLimitedUseAppCheckToken().addOnSuccessListener(
new OnSuccessListener<AppCheckToken>() {
@Override
public void onSuccess(AppCheckToken appCheckToken) {
String token = appCheckToken.getToken();
// ...
}
}
);