Proteja los recursos que no son de Firebase con App Check

Puede proteger los recursos que no son de Firebase de su aplicación, como los backends autohospedados, con App Check. Para hacerlo, deberá hacer las dos cosas siguientes:

Antes de que empieces

Agregue App Check a su aplicación, utilizando los proveedores predeterminados .

Enviar tokens de verificación de aplicaciones con solicitudes de back-end

Para asegurarse de que sus solicitudes de back-end incluyan un token de verificación de aplicación válido y vigente, preceda cada solicitud con una llamada a getToken() . La biblioteca App Check actualizará el token si es necesario.

Una vez que tenga un token válido, envíelo junto con la solicitud a su backend. Los detalles de cómo lograr esto dependen de usted, pero no envíe tokens de verificación de aplicaciones como parte de las URL , incluso en los parámetros de consulta, ya que esto los hace vulnerables a filtraciones e intercepciones accidentales. El enfoque recomendado es enviar el token en un encabezado HTTP personalizado.

Por ejemplo:

void callApiExample() async {
    final appCheckToken = await FirebaseAppCheck.instance.getToken();
    if (appCheckToken != null) {
        final response = await http.get(
            Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
            headers: {"X-Firebase-AppCheck": appCheckToken},
        );
    } else {
        // Error: couldn't get an App Check token.
    }
}