Quando hai compreso in che modo App Check influirà sui tuoi utenti e sei pronto per procedere, puoi attivare l'applicazione di App Check per le funzioni richiamabili.
Attivazione dell'applicazione
Per iniziare a applicare i requisiti dei token App Check nelle funzioni richiamabili, modifica le funzioni in modo da verificare la presenza di token App Check validi, come mostrato di seguito. Una volta attivata l'applicazione, tutte le richieste non verificate verranno rifiutate.
Installa l'SDK Cloud Functions.
Node.js (1ª gen.)
Aggiorna la dipendenza
firebase-functionsdel progetto alla versione 4.0.0 o superiore:npm install firebase-functions@">=4.0.0"Node.js (2ª gen.)
Aggiorna la dipendenza
firebase-functionsdel progetto alla versione 4.0.0 o superiore:npm install firebase-functions@">=4.0.0"Python (anteprima)
Aggiungi
firebase-functionsafunctions/requirements.txt:firebase-functions >= 0.1.0Aggiorna quindi le dipendenze nell'ambiente virtuale del progetto:
./venv/bin/pip install -r requirements.txtAbilita l'opzione di runtime per l'applicazione di App Check per la tua funzione:
Node.js (1ª gen.)
const functions = require("firebase-functions/v1"); exports.yourV1CallableFunction = functions .runWith({ enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens. }) .https.onCall((data, context) => { // context.app contains data from App Check, including the app ID. // Your function logic follows. ... });Node.js (2ª gen.)
const { onCall } = require("firebase-functions/v2/https"); exports.yourV2CallableFunction = onCall( { enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens. }, (request) => { // request.app contains data from App Check, including the app ID. // Your function logic follows. ... } );Python (anteprima)
from firebase_functions import https_fn @https_fn.on_call( enforce_app_check=True # Reject requests with missing or invalid App Check tokens. ) def your_callable_function(req: https_fn.CallableRequest) -> https_fn.Response: # req.app contains data from App Check, including the app ID. # Your function logic follows. ...Esegui nuovamente il deployment delle funzioni:
firebase deploy --only functions
Una volta implementate queste modifiche, le funzioni richiamabili richiederanno token App Check validi. Gli SDK client Cloud Functions aggiungono automaticamente un token App Check quando richiami una funzione richiamabile.
Protezione da replay (beta)
Per proteggere una funzione richiamabile dagli attacchi di replay, puoi utilizzare il token App Check dopo averlo verificato. Una volta utilizzato, il token non può essere usato nuovamente.
Tieni presente che l'utilizzo della protezione da replay aggiunge un viaggio di andata e ritorno sulla rete alla verifica del token e, di conseguenza, aggiunge latenza alla chiamata della funzione. Per questo motivo, la maggior parte delle app attiva in genere la protezione da replay solo su endpoint particolarmente sensibili.
Per consumare i token:
Nella console Cloud, concedi il ruolo "Verificatore token di Firebase App Check" all'account di servizio utilizzato dalla funzione.
- Se stai inizializzando esplicitamente l'SDK Admin e hai specificato le credenziali dell'account di servizio SDK Admin del tuo progetto, il ruolo richiesto è già stato concesso.
- Se utilizzi Cloud Functions di 1ª generazione con la configurazione predefinita dell'SDK di amministrazione, concedi il ruolo all'account di servizio predefinito di App Engine. Consulta Modificare le autorizzazioni dell'account di servizio.
- Se utilizzi Cloud Functions di 2ª generazione con la configurazione predefinita dell'SDK amministratore, concedi il ruolo all'account di servizio Compute predefinito.
Imposta
consumeAppCheckTokensutruenella definizione della funzione:Node.js (1ª gen.)
const functions = require("firebase-functions/v1"); exports.yourV1CallableFunction = functions .runWith({ enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens. consumeAppCheckToken: true // Consume the token after verification. }) .https.onCall((data, context) => { // context.app contains data from App Check, including the app ID. // Your function logic follows. ... });Node.js (2ª gen.)
const { onCall } = require("firebase-functions/v2/https"); exports.yourV2CallableFunction = onCall( { enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens. consumeAppCheckToken: true // Consume the token after verification. }, (request) => { // request.app contains data from App Check, including the app ID. // Your function logic follows. ... } );Aggiorna il codice client dell'app per acquisire token di uso limitato consumabili quando chiami la funzione:
Swift
let options = HTTPSCallableOptions(requireLimitedUseAppCheckTokens: true) let yourCallableFunction = Functions.functions().httpsCallable("yourCallableFunction", options: options) do { let result = try await yourCallableFunction.call() } catch { // ... }Web
import { getFunctions, httpsCallable } from "firebase/functions"; const yourCallableFunction = httpsCallable( getFunctions(), "yourCallableFunction", { limitedUseAppCheckTokens: true }, ); await yourCallableFunction();Kotlin
val yourCallableFunction = Firebase.functions.getHttpsCallable("yourCallableFunction") { limitedUseAppCheckTokens = true } val result = yourCallableFunction.call().await()Java
HttpsCallableReference yourCallableFunction = FirebaseFunctions.getInstance().getHttpsCallable( "yourCallableFunction", new HttpsCallableOptions.Builder() .setLimitedUseAppCheckTokens(true) .build() ); Task<HttpsCallableResult> result = yourCallableFunction.call();