Activer l'application App Check pour Cloud Functions

Une fois que vous comprénez l'impact de App Check sur vos utilisateurs et que vous êtes prêt à continuer, vous pouvez activer l'application de App Check.

Activer l'application des règles

Pour commencer à appliquer les exigences concernant les jetons App Check dans votre Cloud Functions appelable, modifiez vos fonctions pour rechercher des jetons App Check valides, comme indiqué ci-dessous. Une fois l'application activée, toutes les requêtes non validées seront refusées.

  1. Installez le SDK Cloud Functions.

    Node.js (1re génération)

    Mettez à jour la dépendance firebase-functions de votre projet vers la version 4.0.0 ou une version ultérieure:

    npm install firebase-functions@">=4.0.0"

    Node.js (2e génération)

    Mettez à jour la dépendance firebase-functions de votre projet vers la version 4.0.0 ou une version ultérieure:

    npm install firebase-functions@">=4.0.0"

    Python (bêta)

    Ajoutez firebase-functions à functions/requirements.txt:

    firebase-functions >= 0.1.0
    

    Modifiez ensuite les dépendances dans l'environnement virtuel de votre projet:

    ./venv/bin/pip install -r requirements.txt
    
  2. Activez l'option d'environnement d'exécution d'application de la vérification des applications pour votre fonction:

    Node.js (1re génération)

    const functions = require("firebase-functions/v1");
    
    exports.yourV1CallableFunction = functions
      .runWith({
          enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens.
      })
      .https.onCall((data, context) => {
            // context.app contains data from App Check, including the app ID.
            // Your function logic follows.
            ...
      });
    

    Node.js (2e génération)

    const { onCall } = require("firebase-functions/v2/https");
    
    exports.yourV2CallableFunction = onCall(
      {
        enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens.
      },
      (request) => {
        // request.app contains data from App Check, including the app ID.
        // Your function logic follows.
        ...
      }
    );
    

    Python (bêta)

    from firebase_functions import https_fn
    
    @https_fn.on_call(
        enforce_app_check=True  # Reject requests with missing or invalid App Check tokens.
    )
    def your_callable_function(req: https_fn.CallableRequest) -> https_fn.Response:
        # req.app contains data from App Check, including the app ID.
        # Your function logic follows.
        ...
    
  3. Redéployez vos fonctions:

    firebase deploy --only functions
    

Une fois ces modifications déployées, votre Cloud Functions appelable nécessitera des jetons App Check valides. Les SDK clients Cloud Functions associent automatiquement un jeton App Check lorsque vous appelez une fonction appelable.

Protection contre le rejeu (bêta)

Pour protéger une fonction appelable contre les attaques par rejeu, vous pouvez utiliser le jeton App Check après l'avoir validé. Une fois le jeton utilisé, il ne peut plus être utilisé.

Notez que l'utilisation de la protection contre la relecture ajoute un aller-retour réseau à la validation du jeton, ce qui ajoute de la latence à l'appel de la fonction cloud. C'est pourquoi la plupart des applications n'activent généralement la protection contre la relecture que sur les points de terminaison particulièrement sensibles.

Pour consommer des jetons:

  1. Dans la console Cloud, attribuez le rôle "Firebase App Check Token Verifier" au compte de service utilisé par la fonction Cloud.

    • Si vous initialisez explicitement le SDK Admin et que vous avez spécifié les identifiants du compte de service du SDK Admin de votre projet, le rôle requis est déjà accordé.
    • Si vous utilisez Cloud Functions de première génération avec la configuration par défaut du SDK Admin, attribuez le rôle au compte de service App Engine par défaut. Consultez la section Modifier les autorisations des comptes de service.
    • Si vous utilisez des fonctions Cloud de deuxième génération avec la configuration par défaut du SDK Admin, attribuez le rôle au compte de service Compute par défaut.
  2. Définissez consumeAppCheckToken sur true dans la définition de votre fonction:

    Node.js (1re génération)

    const functions = require("firebase-functions/v1");
    
    exports.yourV1CallableFunction = functions
      .runWith({
          enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens.
          consumeAppCheckToken: true  // Consume the token after verification.
      })
      .https.onCall((data, context) => {
          // context.app contains data from App Check, including the app ID.
          // Your function logic follows.
          ...
      });
    

    Node.js (2e génération)

    const { onCall } = require("firebase-functions/v2/https");
    
    exports.yourV2CallableFunction = onCall(
      {
        enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens.
        consumeAppCheckToken: true  // Consume the token after verification.
      },
      (request) => {
        // request.app contains data from App Check, including the app ID.
        // Your function logic follows.
        ...
      }
    );
    
  3. Mettez à jour le code client de votre application pour acquérir des jetons à usage limité consommables lorsque vous appelez la fonction:

    Swift

    let options = HTTPSCallableOptions(requireLimitedUseAppCheckTokens: true)
    let yourCallableFunction =
        Functions.functions().httpsCallable("yourCallableFunction", options: options)
    do {
        let result = try await yourCallableFunction.call()
    } catch {
        // ...
    }
    

    Web

    import { getFunctions, httpsCallable } from "firebase/functions";
    
    const yourCallableFunction = httpsCallable(
      getFunctions(),
      "yourCallableFunction",
      { limitedUseAppCheckTokens: true },
    );
    await yourCallableFunction();
    

    Kotlin+KTX

    val yourCallableFunction = Firebase.functions.getHttpsCallable("yourCallableFunction") {
        limitedUseAppCheckTokens = true
    }
    val result = yourCallableFunction.call().await()
    

    Java

    HttpsCallableReference yourCallableFunction = FirebaseFunctions.getInstance().getHttpsCallable(
            "yourCallableFunction",
            new HttpsCallableOptions.Builder()
                    .setLimitedUseAppCheckTokens(true)
                    .build()
    );
    Task<HttpsCallableResult> result = yourCallableFunction.call();