Bạn có thể dùng App Check để bảo vệ các tài nguyên phụ trợ tuỳ chỉnh không phải của Google cho ứng dụng của mình, chẳng hạn như chương trình phụ trợ tự lưu trữ của riêng bạn. Để làm như vậy, bạn cần thực hiện cả hai việc sau:
- Sửa đổi ứng dụng khách để gửi mã thông báo Kiểm tra ứng dụng cùng với mỗi yêu cầu đến chương trình phụ trợ, như mô tả trên trang này.
- Sửa đổi chương trình phụ trợ để yêu cầu mã thông báo Kiểm tra ứng dụng hợp lệ với mọi yêu cầu, như mô tả trong Xác minh mã thông báo Kiểm tra ứng dụng từ chương trình phụ trợ tuỳ chỉnh.
Trước khi bắt đầu
Thêm Kiểm tra ứng dụng vào ứng dụng của bạn bằng các nhà cung cấp mặc định.
Gửi mã thông báo Kiểm tra ứng dụng bằng các yêu cầu phụ trợ
Để đảm bảo các yêu cầu phụ trợ của bạn bao gồm mã thông báo Kiểm tra ứng dụng hợp lệ, chưa hết hạn, hãy thêm một lệnh gọi đến getToken() trước mỗi yêu cầu. Thư viện Kiểm tra ứng dụng sẽ làm mới mã thông báo nếu cần.
Sau khi có mã thông báo hợp lệ, hãy gửi mã thông báo đó cùng với yêu cầu đến chương trình phụ trợ. Bạn có thể tự quyết định cách thực hiện việc này, nhưng không gửi mã thông báo Kiểm tra ứng dụng dưới dạng một phần của URL, kể cả trong các tham số truy vấn, vì điều này khiến mã thông báo dễ bị rò rỉ và chặn do vô tình. Phương pháp được đề xuất là gửi mã thông báo trong một tiêu đề HTTP tuỳ chỉnh.
Ví dụ:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}