實現自定義 App Check 提供程序

App中檢查有內置的支持幾個供應商:DeviceCheck和App的Attest在iOS上,安全網,在Android上或Web應用程序驗證碼V3(概述)。這些是易於理解的提供程序,應該可以滿足大多數開發人員的需求。但是,您也可以實現自己的自定義 App Check 提供程序。在以下情況下需要使用自定義提供程序:

  • 您想要使用除 iOS 上的 DeviceCheck 或 App Attest、Android 上的 SafetyNet 或 Web 應用中的 reCAPTCHA 以外的提供程序。

  • 您想使用 iOS、Android 和 Web 以外的平台驗證設備。例如,您可以為桌面操作系統或物聯網設備創建 App Check 提供程序。

  • 您想在任何平台上實施自己的驗證技術。

概述

要實現自定義應用程序檢查提供商,你需要一個安全的後端環境,能夠運行Node.js的火力地堡管理員SDK 。這可能是雲功能,容器平台,比如雲中運行,或者你自己的服務器。

在此環境中,您將提供可訪問網絡的服務,該服務從您的應用程序客戶端接收真實性證明,如果真實性證明通過您的真實性評估,則返回 App Check 令牌。如果您正在實施自定義邏輯,您用作真實性證明的特定指標將取決於您使用的第三方提供商或您自己發明的指標。

通常,您將此服務公開為 REST 或 gRPC 端點,但此細節取決於您。

創建令牌獲取端點

  1. 安裝和初始化管理SDK

  2. 創建可從您的客戶端接收真實性數據的網絡可訪問端點。例如,使用 Cloud Functions:

    // Create endpoint at https://example-app.cloudfunctions.net/fetchAppCheckToken
    exports.fetchAppCheckToken = functions.https.onCall((authenticityData, context) => {
      // ...
    });
    
  3. 添加到評估真實性數據的端點邏輯。這是您的自定義 App Check 提供程序的核心邏輯,您需要自己編寫。

  4. 如果您確定客戶端是真實的,請使用 Admin SDK 生成 App Check 令牌並將其及其到期時間返回給客戶端:

    const admin = require('firebase-admin');
    admin.initializeApp();
    
    // ...
    
    admin.appCheck().createToken(appId)
        .then(function (appCheckToken) {
          // Token expires in an hour.
          const expiresAt = Math.floor(Date.now() / 1000) + 60 * 60;
    
          // Return appCheckToken and expiresAt to the client.
        })
       .catch(function (err) {
         console.error('Unable to create App Check token.');
         console.error(err);
       });
    

    如果您無法驗證客戶端的真實性,則返回錯誤(例如,返回 HTTP 403 錯誤)。

  5. 可選:設置時間生存(TTL),用於傳遞一個由自定義提供商發布應用程序檢查令牌AppCheckTokenOptions反對createToken()您可以將 TTL 設置為 30 分鐘到 7 天之間的任何值。設置此值時,請注意以下權衡:

    • 安全性:較短的 TTL 提供更強的安全性,因為它減少了攻擊者可以濫用洩漏或攔截的令牌的窗口。
    • 性能:更短的 TTL 意味著您的應用程序將更頻繁地執行證明。由於應用證明過程會在每次執行時增加網絡請求的延遲,因此較短的 TTL 可能會影響應用的性能。

    1 小時的默認 TTL 對於大多數應用程序是合理的。

下一步

現在,您已經實現自定義提供商的服務器端邏輯,學會如何從您使用它的iOS安卓網頁客戶端。