ตรวจสอบโทเค็น App Check จากแบ็กเอนด์ที่กำหนดเอง

คุณสามารถปกป้องทรัพยากรที่ไม่ใช่ Firebase ของแอปได้ เช่น แบ็กเอนด์ที่โฮสต์เอง ด้วย App Check โดยคุณจะต้องทำทั้งสองอย่างต่อไปนี้:

  • แก้ไขไคลเอ็นต์แอปของคุณเพื่อส่งโทเค็น App Check พร้อมกับคำขอแต่ละรายการไปยังแบ็กเอนด์ของคุณ ตามที่อธิบายไว้ในหน้าเว็บสำหรับ iOS+ , Android และ เว็บ
  • แก้ไขแบ็กเอนด์ของคุณให้ต้องใช้โทเค็น App Check ที่ถูกต้องกับทุกคำขอ ตามที่อธิบายไว้ในหน้านี้

การตรวจสอบโทเค็น

หากต้องการยืนยันโทเค็น App Check บนแบ็กเอนด์ของคุณ ให้เพิ่มตรรกะไปยังตำแหน่งข้อมูล API ของคุณที่ทำสิ่งต่อไปนี้:

  • ตรวจสอบว่าคำขอแต่ละรายการมีโทเค็น App Check

  • ตรวจสอบโทเค็น App Check โดยใช้ Admin SDK

    หากยืนยันสำเร็จ Admin SDK จะส่งคืนโทเค็น App Check ที่ถอดรหัสแล้ว การยืนยันที่สำเร็จบ่งชี้ว่าโทเค็นมาจากแอปที่เป็นของโปรเจ็กต์ Firebase ของคุณ

ปฏิเสธคำขอใด ๆ ที่ไม่ผ่านการตรวจสอบ ตัวอย่างเช่น:

โหนด js

หากคุณยังไม่ได้ติดตั้ง Node.js Admin SDK ให้ดำเนินการดังกล่าว

จากนั้นใช้มิดเดิลแวร์ Express.js เป็นตัวอย่าง:

import express from "express";
import { initializeApp } from "firebase-admin/app";
import { getAppCheck } from "firebase-admin/app-check";

const expressApp = express();
const firebaseApp = initializeApp();

const appCheckVerification = async (req, res, next) => {
    const appCheckToken = req.header("X-Firebase-AppCheck");

    if (!appCheckToken) {
        res.status(401);
        return next("Unauthorized");
    }

    try {
        const appCheckClaims = await getAppCheck().verifyToken(appCheckToken);

        // If verifyToken() succeeds, continue with the next middleware
        // function in the stack.
        return next();
    } catch (err) {
        res.status(401);
        return next("Unauthorized");
    }
}

expressApp.get("/yourApiEndpoint", [appCheckVerification], (req, res) => {
    // Handle request.
});

หลาม

หากคุณยังไม่ได้ติดตั้ง Python Admin SDK ให้ดำเนินการดังกล่าว

จากนั้น ในตัวจัดการตำแหน่งข้อมูล API ของคุณ ให้เรียก app_check.verify_token() และปฏิเสธคำขอหากล้มเหลว ในตัวอย่างต่อไปนี้ ฟังก์ชันที่ตกแต่งด้วย @before_request จะทำหน้าที่นี้กับคำขอทั้งหมด:

import firebase_admin
from firebase_admin import app_check
import flask
import jwt

firebase_app = firebase_admin.initialize_app()
flask_app = flask.Flask(__name__)

@flask_app.before_request
def verify_app_check() -> None:
    app_check_token = flask.request.headers.get("X-Firebase-AppCheck", default="")
    try:
        app_check_claims = app_check.verify_token(app_check_token)
        # If verify_token() succeeds, okay to continue to route handler.
    except (ValueError, jwt.exceptions.DecodeError):
        flask.abort(401)

@flask_app.route("/yourApiEndpoint")
def your_api_endpoint(request: flask.Request):
    # Handle request.
    ...

ไป

หากคุณยังไม่ได้ติดตั้ง Admin SDK for Go ให้ดำเนินการดังกล่าว

จากนั้น ในตัวจัดการตำแหน่งข้อมูล API ของคุณ ให้เรียก appcheck.Client.VerifyToken() และปฏิเสธคำขอหากล้มเหลว ในตัวอย่างต่อไปนี้ ฟังก์ชัน wrapper จะเพิ่มตรรกะนี้ให้กับตัวจัดการจุดสิ้นสุด:

package main

import (
    "context"
    "log"
    "net/http"

    firebaseAdmin "firebase.google.com/go/v4"
    "firebase.google.com/go/v4/appcheck"
)

var (
    appCheck *appcheck.Client
)

func main() {
    app, err := firebaseAdmin.NewApp(context.Background(), nil)
    if err != nil {
        log.Fatalf("error initializing app: %v\n", err)
    }

    appCheck, err = app.AppCheck(context.Background())
    if err != nil {
        log.Fatalf("error initializing app: %v\n", err)
    }

    http.HandleFunc("/yourApiEndpoint", requireAppCheck(yourApiEndpointHandler))
    log.Fatal(http.ListenAndServe(":8080", nil))
}

func requireAppCheck(handler func(http.ResponseWriter, *http.Request)) func(http.ResponseWriter, *http.Request) {
    wrappedHandler := func(w http.ResponseWriter, r *http.Request) {
        appCheckToken, ok := r.Header[http.CanonicalHeaderKey("X-Firebase-AppCheck")]
        if !ok {
            w.WriteHeader(http.StatusUnauthorized)
            w.Write([]byte("Unauthorized."))
            return
        }

        _, err := appCheck.VerifyToken(appCheckToken[0])
        if err != nil {
            w.WriteHeader(http.StatusUnauthorized)
            w.Write([]byte("Unauthorized."))
            return
        }

        // If VerifyToken() succeeds, continue with the provided handler.
        handler(w, r)
    }
    return wrappedHandler
}

func yourApiEndpointHandler(w http.ResponseWriter, r *http.Request) {
    // Handle request.
}

อื่น

หากแบ็กเอนด์ของคุณเขียนเป็นภาษาอื่น คุณสามารถใช้ไลบรารี JWT ทั่วไปได้ เช่นไลบรารีที่พบใน jwt.io เพื่อตรวจสอบโทเค็น App Check

ตรรกะการตรวจสอบโทเค็นของคุณต้องทำตามขั้นตอนต่อไปนี้:

  1. รับการตั้งค่า Firebase App Check สาธารณะ JSON Web Key (JWK) จากจุดสิ้นสุด App Check JWKS: https://firebaseappcheck.googleapis.com/v1/jwks
  2. ตรวจสอบลายเซ็นของโทเค็น App Check เพื่อให้แน่ใจว่าถูกต้อง
  3. ตรวจสอบให้แน่ใจว่าส่วนหัวของโทเค็นใช้อัลกอริทึม RS256
  4. ตรวจสอบให้แน่ใจว่าส่วนหัวของโทเค็นมีประเภท JWT
  5. ตรวจสอบว่าโทเค็นออกโดย Firebase App Check ภายใต้โปรเจ็กต์ของคุณ
  6. ตรวจสอบให้แน่ใจว่าโทเค็นยังไม่หมดอายุ
  7. ตรวจสอบให้แน่ใจว่าผู้ชมของโทเค็นตรงกับโครงการของคุณ
  8. ทางเลือก : ตรวจสอบว่าหัวเรื่องของโทเค็นตรงกับรหัสแอปของแอปของคุณ

ความสามารถของไลบรารี JWT อาจแตกต่างกัน อย่าลืมทำตามขั้นตอนใดๆ ที่ไม่ได้จัดการโดยไลบรารีที่คุณเลือกด้วยตนเอง

ตัวอย่างต่อไปนี้ดำเนินการขั้นตอนที่จำเป็นใน Ruby โดยใช้ jwt gem เป็นเลเยอร์มิดเดิลแวร์ของ Rack

require 'json'
require 'jwt'
require 'net/http'
require 'uri'

class AppCheckVerification
def initialize(app, options = {})
    @app = app
    @project_number = options[:project_number]
end

def call(env)
    app_id = verify(env['HTTP_X_FIREBASE_APPCHECK'])
    return [401, { 'Content-Type' => 'text/plain' }, ['Unauthenticated']] unless app_id
    env['firebase.app'] = app_id
    @app.call(env)
end

def verify(token)
    return unless token

    # 1. Obtain the Firebase App Check Public Keys
    # Note: It is not recommended to hard code these keys as they rotate,
    # but you should cache them for up to 6 hours.
    uri = URI('https://firebaseappcheck.googleapis.com/v1/jwks')
    jwks = JSON(Net::HTTP.get(uri))

    # 2. Verify the signature on the App Check token
    payload, header = JWT.decode(token, nil, true, jwks: jwks, algorithms: 'RS256')

    # 3. Ensure the token's header uses the algorithm RS256
    return unless header['alg'] == 'RS256'

    # 4. Ensure the token's header has type JWT
    return unless header['typ'] == 'JWT'

    # 5. Ensure the token is issued by App Check
    return unless payload['iss'] == "https://firebaseappcheck.googleapis.com/#{@project_number}"

    # 6. Ensure the token is not expired
    return unless payload['exp'] > Time.new.to_i

    # 7. Ensure the token's audience matches your project
    return unless payload['aud'].include? "projects/#{@project_number}"

    # 8. The token's subject will be the app ID, you may optionally filter against
    # an allow list
    payload['sub']
rescue
end
end

class Application
def call(env)
    [200, { 'Content-Type' => 'text/plain' }, ["Hello app #{env['firebase.app']}"]]
end
end

use AppCheckVerification, project_number: 1234567890
run Application.new

การป้องกันการเล่นซ้ำ (เบต้า)

เพื่อปกป้องตำแหน่งข้อมูลจากการโจมตีซ้ำ คุณสามารถใช้โทเค็น App Check หลังจากยืนยันแล้วเพื่อให้สามารถใช้ได้เพียงครั้งเดียว

การใช้การป้องกันการเล่นซ้ำจะเพิ่มการเดินทางไปกลับของเครือข่ายในการเรียก verifyToken() ดังนั้นจึงเพิ่มเวลาแฝงให้กับตำแหน่งข้อมูลใดๆ ที่ใช้งาน ด้วยเหตุผลนี้ เราขอแนะนำให้คุณเปิดใช้งานการป้องกันการเล่นซ้ำเฉพาะบนปลายทางที่มีความละเอียดอ่อนเป็นพิเศษเท่านั้น

หากต้องการใช้การป้องกันการเล่นซ้ำ ให้ทำดังต่อไปนี้:

  1. ใน Cloud console ให้มอบบทบาท "Firebase App Check Token Verifier" ให้กับบัญชีบริการที่ใช้ในการตรวจสอบโทเค็น

    • หากคุณเริ่มต้น Admin SDK ด้วยข้อมูลรับรองบัญชีบริการ Admin SDK ที่คุณดาวน์โหลดจากคอนโซล Firebase บทบาทที่จำเป็นจะได้รับอนุมัติแล้ว
    • หากคุณใช้ Cloud Functions รุ่นที่ 1 ที่มีการกำหนดค่า Admin SDK เริ่มต้น ให้มอบบทบาทให้กับ บัญชีบริการเริ่มต้นของ App Engine ดู การเปลี่ยนแปลงสิทธิ์ของบัญชีบริการ
    • หากคุณใช้ Cloud Functions รุ่นที่ 2 ที่มีการกำหนดค่า Admin SDK เริ่มต้น ให้มอบบทบาทให้กับ บัญชีบริการประมวลผลเริ่มต้น
  2. จากนั้น หากต้องการใช้โทเค็น ให้ส่ง { consume: true } ไปยังเมธอด verifyToken() และตรวจสอบออบเจ็กต์ผลลัพธ์ หากคุณสมบัติ alreadyConsumed เป็น true ให้ปฏิเสธคำขอหรือดำเนินการแก้ไขบางอย่าง เช่น กำหนดให้ผู้โทรผ่านการตรวจสอบอื่น ๆ

    ตัวอย่างเช่น:

    const appCheckClaims = await getAppCheck().verifyToken(appCheckToken, { consume: true });
    
    if (appCheckClaims.alreadyConsumed) {
        res.status(401);
        return next('Unauthorized');
    }
    
    // If verifyToken() succeeds and alreadyConsumed is not set, okay to continue.
    

    วิธีนี้จะตรวจสอบโทเค็นแล้วแฟล็กว่าใช้งานไปแล้ว การเรียกใช้ verifyToken(appCheckToken, { consume: true }) บนโทเค็นเดียวกันจะถูกตั้ง alreadyConsumed เป็น true (โปรดทราบว่า verifyToken() จะไม่ปฏิเสธโทเค็นที่ใช้ไป หรือแม้แต่ตรวจสอบว่ามีการใช้ไปแล้วหรือไม่ หากไม่ได้ตั้งค่า consume )

เมื่อคุณเปิดใช้งานคุณสมบัตินี้สำหรับตำแหน่งข้อมูลเฉพาะ คุณต้องอัปเดตโค้ดไคลเอนต์ของแอปของคุณเพื่อรับโทเค็นการใช้งานแบบจำกัดที่บริโภคได้เพื่อใช้กับตำแหน่งข้อมูล ดูเอกสารฝั่งไคลเอ็นต์สำหรับ แพลตฟอร์ม Apple , Android และ เว็บ