คุณสามารถปกป้องทรัพยากรที่ไม่ใช่ Firebase ของแอป เช่น แบ็กเอนด์ที่โฮสต์เองได้ด้วยการตรวจสอบแอป ในการทำเช่นนั้น คุณจะต้องทำทั้งสองสิ่งต่อไปนี้:
- แก้ไขไคลเอนต์แอปของคุณเพื่อส่งโทเค็น App Check พร้อมกับคำขอแต่ละรายการไปยังแบ็กเอนด์ของคุณ ตามที่อธิบายไว้ในหน้าสำหรับ iOS+ , Android และ เว็บ
- แก้ไขแบ็กเอนด์ของคุณเพื่อต้องการโทเค็น App Check ที่ถูกต้องสำหรับทุกคำขอ ตามที่อธิบายไว้ในหน้านี้
การตรวจสอบโทเค็น
ในการยืนยันโทเค็น App Check บนแบ็กเอนด์ของคุณ ให้เพิ่มลอจิกไปยังตำแหน่งข้อมูล API ของคุณที่ทำสิ่งต่อไปนี้:
ตรวจสอบว่าคำขอแต่ละรายการมีโทเค็น App Check
ตรวจสอบโทเค็น App Check โดยใช้ Admin SDK
หากการยืนยันสำเร็จ Admin SDK จะส่งคืนโทเค็น App Check ที่ถอดรหัสแล้ว การยืนยันที่สำเร็จแสดงว่าโทเค็นมาจากแอปที่เป็นของโครงการ Firebase ของคุณ
ปฏิเสธคำขอใด ๆ ที่ไม่ผ่านการตรวจสอบ ตัวอย่างเช่น:
โหนด js
หากคุณยังไม่ได้ติดตั้ง Node.js Admin SDK ให้ติดตั้ง
จากนั้นใช้มิดเดิลแวร์ Express.js เป็นตัวอย่าง:
import express from "express";
import { initializeApp } from "firebase-admin/app";
import { getAppCheck } from "firebase-admin/app-check";
const expressApp = express();
const firebaseApp = initializeApp();
const appCheckVerification = async (req, res, next) => {
const appCheckToken = req.header("X-Firebase-AppCheck");
if (!appCheckToken) {
res.status(401);
return next("Unauthorized");
}
try {
const appCheckClaims = await getAppCheck().verifyToken(appCheckToken);
// If verifyToken() succeeds, continue with the next middleware
// function in the stack.
return next();
} catch (err) {
res.status(401);
return next("Unauthorized");
}
}
expressApp.get("/yourApiEndpoint", [appCheckVerification], (req, res) => {
// Handle request.
});
หลาม
หากคุณยังไม่ได้ติดตั้ง Python Admin SDK ให้ติดตั้ง
จากนั้นในตัวจัดการปลายทาง API ของคุณ ให้เรียก app_check.verify_token() และปฏิเสธคำขอหากล้มเหลว ในตัวอย่างต่อไปนี้ ฟังก์ชันที่ตกแต่งด้วย @before_request จะทำงานนี้สำหรับคำขอทั้งหมด:
import firebase_admin
from firebase_admin import app_check
import flask
import jwt
firebase_app = firebase_admin.initialize_app()
flask_app = flask.Flask(__name__)
@flask_app.before_request
def verify_app_check() -> None:
app_check_token = flask.request.headers.get("X-Firebase-AppCheck", default="")
try:
app_check_claims = app_check.verify_token(app_check_token)
# If verify_token() succeeds, okay to continue to route handler.
except (ValueError, jwt.exceptions.DecodeError):
flask.abort(401)
@flask_app.route("/yourApiEndpoint")
def your_api_endpoint(request: flask.Request):
# Handle request.
...
ไป
หากคุณยังไม่ได้ติดตั้ง Admin SDK for Go ให้ติดตั้ง
จากนั้นในตัวจัดการปลายทาง API ของคุณ ให้เรียก appcheck.Client.VerifyToken() และปฏิเสธคำขอหากล้มเหลว ในตัวอย่างต่อไปนี้ ฟังก์ชัน wrapper เพิ่มตรรกะนี้ให้กับตัวจัดการปลายทาง:
package main
import (
"context"
"log"
"net/http"
firebaseAdmin "firebase.google.com/go/v4"
"firebase.google.com/go/v4/appcheck"
)
var (
appCheck *appcheck.Client
)
func main() {
app, err := firebaseAdmin.NewApp(context.Background(), nil)
if err != nil {
log.Fatalf("error initializing app: %v\n", err)
}
appCheck, err = app.AppCheck(context.Background())
if err != nil {
log.Fatalf("error initializing app: %v\n", err)
}
http.HandleFunc("/yourApiEndpoint", requireAppCheck(yourApiEndpointHandler))
log.Fatal(http.ListenAndServe(":8080", nil))
}
func requireAppCheck(handler func(http.ResponseWriter, *http.Request)) func(http.ResponseWriter, *http.Request) {
wrappedHandler := func(w http.ResponseWriter, r *http.Request) {
appCheckToken, ok := r.Header[http.CanonicalHeaderKey("X-Firebase-AppCheck")]
if !ok {
w.WriteHeader(http.StatusUnauthorized)
w.Write([]byte("Unauthorized."))
return
}
_, err := appCheck.VerifyToken(appCheckToken[0])
if err != nil {
w.WriteHeader(http.StatusUnauthorized)
w.Write([]byte("Unauthorized."))
return
}
// If VerifyToken() succeeds, continue with the provided handler.
handler(w, r)
}
return wrappedHandler
}
func yourApiEndpointHandler(w http.ResponseWriter, r *http.Request) {
// Handle request.
}
อื่น
หากแบ็กเอนด์ของคุณเขียนในภาษาอื่น คุณสามารถใช้ไลบรารี JWT สำหรับวัตถุประสงค์ทั่วไป เช่น ที่พบใน jwt.io เพื่อยืนยันโทเค็น App Check
ตรรกะการตรวจสอบโทเค็นของคุณต้องทำตามขั้นตอนต่อไปนี้:
- รับการตั้งค่า JSON Web Key สาธารณะของแอป Firebase (JWK) จากจุดสิ้นสุดการตรวจสอบแอป JWKS:
https://firebaseappcheck.googleapis.com/v1/jwks - ตรวจสอบลายเซ็นของโทเค็น App Check เพื่อให้แน่ใจว่าถูกต้องตามกฎหมาย
- ตรวจสอบให้แน่ใจว่าส่วนหัวของโทเค็นใช้อัลกอริทึม RS256
- ตรวจสอบให้แน่ใจว่าส่วนหัวของโทเค็นเป็นประเภท JWT
- ตรวจสอบให้แน่ใจว่าโทเค็นนั้นออกโดย Firebase App Check ภายใต้โครงการของคุณ
- ตรวจสอบให้แน่ใจว่าโทเค็นยังไม่หมดอายุ
- ตรวจสอบให้แน่ใจว่าผู้ชมของโทเค็นตรงกับโครงการของคุณ
- ไม่บังคับ : ตรวจสอบว่าหัวเรื่องของโทเค็นตรงกับ App ID ของแอป
ความสามารถของห้องสมุด JWT อาจแตกต่างกัน ตรวจสอบให้แน่ใจว่าได้ทำตามขั้นตอนใด ๆ ที่ไม่ได้จัดการโดยไลบรารีที่คุณเลือกด้วยตนเอง
ตัวอย่างต่อไปนี้ทำตามขั้นตอนที่จำเป็นใน Ruby โดยใช้ jwt gem เป็นชั้นมิดเดิลแวร์ของแร็ค
require 'json'
require 'jwt'
require 'net/http'
require 'uri'
class AppCheckVerification
def initialize(app, options = {})
@app = app
@project_number = options[:project_number]
end
def call(env)
app_id = verify(env['HTTP_X_FIREBASE_APPCHECK'])
return [401, { 'Content-Type' => 'text/plain' }, ['Unauthenticated']] unless app_id
env['firebase.app'] = app_id
@app.call(env)
end
def verify(token)
return unless token
# 1. Obtain the Firebase App Check Public Keys
# Note: It is not recommended to hard code these keys as they rotate,
# but you should cache them for up to 6 hours.
uri = URI('https://firebaseappcheck.googleapis.com/v1/jwks')
jwks = JSON(Net::HTTP.get(uri))
# 2. Verify the signature on the App Check token
payload, header = JWT.decode(token, nil, true, jwks: jwks, algorithms: 'RS256')
# 3. Ensure the token's header uses the algorithm RS256
return unless header['alg'] == 'RS256'
# 4. Ensure the token's header has type JWT
return unless header['typ'] == 'JWT'
# 5. Ensure the token is issued by App Check
return unless payload['iss'] == "https://firebaseappcheck.googleapis.com/#{@project_number}"
# 6. Ensure the token is not expired
return unless payload['exp'] > Time.new.to_i
# 7. Ensure the token's audience matches your project
return unless payload['aud'].include? "projects/#{@project_number}"
# 8. The token's subject will be the app ID, you may optionally filter against
# an allow list
payload['sub']
rescue
end
end
class Application
def call(env)
[200, { 'Content-Type' => 'text/plain' }, ["Hello app #{env['firebase.app']}"]]
end
end
use AppCheckVerification, project_number: 1234567890
run Application.new
การป้องกันการเล่นซ้ำ (เบต้า)
เพื่อป้องกันอุปกรณ์ปลายทางจากการโจมตีซ้ำ คุณสามารถใช้โทเค็น App Check หลังจากตรวจสอบแล้ว เพื่อให้ใช้งานได้เพียงครั้งเดียว
การใช้การป้องกันการเล่นซ้ำจะเพิ่มเครือข่ายไปกลับในการเรียก verifyToken() และเพิ่มเวลาแฝงให้กับปลายทางใดๆ ที่ใช้งาน ด้วยเหตุผลนี้ เราขอแนะนำให้คุณเปิดใช้งานการป้องกันการเล่นซ้ำบนจุดสิ้นสุดที่ละเอียดอ่อนเป็นพิเศษเท่านั้น
หากต้องการใช้การป้องกันการเล่นซ้ำ ก่อนอื่นให้ตรวจสอบว่าได้เปิดใช้งานบทบาท IAM "Firebase App Check Token Verifier" สำหรับบัญชีบริการที่คุณใช้กับ Admin SDK ใน Cloud Functions โดยปกติจะเป็นบัญชีบริการคอมพิวเตอร์เริ่มต้น ในแพลตฟอร์มอื่นๆ โดยปกติจะเป็นบัญชีบริการ Admin SDK คุณสามารถเปิดใช้บทบาท IAM ใน Cloud Console
จากนั้น หากต้องการใช้โทเค็น ให้ส่ง { consume: true } ไปยังเมธอด verifyToken() และตรวจสอบวัตถุผลลัพธ์ หากคุณสมบัติ alreadyConsumed เป็น true ให้ปฏิเสธคำขอหรือดำเนินการแก้ไขบางอย่าง เช่น กำหนดให้ผู้โทรผ่านการตรวจสอบอื่นๆ
ตัวอย่างเช่น:
const appCheckClaims = await getAppCheck().verifyToken(appCheckToken, { consume: true });
if (appCheckClaims.alreadyConsumed) {
res.status(401);
return next('Unauthorized');
}
// If verifyToken() succeeds and alreadyConsumed is not set, okay to continue.
การดำเนินการนี้จะตรวจสอบโทเค็นและตั้งค่าสถานะว่าใช้ไปแล้ว การเรียกใช้ verifyToken(appCheckToken, { consume: true }) ในโทเค็นเดียวกันจะตั้งค่าเป็น true alreadyConsumed (โปรดทราบว่า verifyToken() จะไม่ปฏิเสธโทเค็นที่ใช้แล้วหรือแม้แต่ตรวจสอบว่ามีการใช้งานหรือไม่หากไม่ได้ตั้ง consume )
เมื่อคุณเปิดใช้คุณลักษณะนี้สำหรับจุดสิ้นสุดเฉพาะ คุณต้องอัปเดตรหัสไคลเอ็นต์ของแอปเพื่อรับโทเค็นแบบจำกัดการใช้งานที่สิ้นเปลืองสำหรับใช้กับจุดสิ้นสุด ดูเอกสารฝั่งไคลเอ็นต์สำหรับ แพลตฟอร์ม Apple , Android และ เว็บ