Za pomocą Sprawdzania aplikacji możesz chronić zasoby aplikacji inne niż Firebase, takie jak backendy z własnym hostingiem. Aby to zrobić, musisz wykonać obie następujące czynności:
- Zmodyfikuj klienta aplikacji, aby wysyłał token Sprawdzania aplikacji wraz z każdym żądaniem do zaplecza, zgodnie z opisem na tej stronie.
- Zmodyfikuj swój backend, tak aby wymagał prawidłowego tokenu Sprawdzania aplikacji przy każdym żądaniu, zgodnie z opisem w sekcji Weryfikowanie tokenów Sprawdzania aplikacji z niestandardowego zaplecza .
Zanim zaczniesz
Dodaj Sprawdzanie aplikacji do swojej aplikacji, korzystając z domyślnych dostawców .
Wysyłaj tokeny App Check z żądaniami zaplecza
Aby upewnić się, że żądania zaplecza zawierają prawidłowy, niewygasły token App Check, poprzedź każde żądanie wywołaniem getToken()
. W razie potrzeby biblioteka App Check odświeży token.
Po uzyskaniu prawidłowego tokena wyślij go wraz z żądaniem do swojego zaplecza. To, jak to zrobisz, zależy od Ciebie, ale nie wysyłaj tokenów App Check jako części adresów URL , w tym w parametrach zapytania, ponieważ naraża to je na przypadkowe wycieki i przechwycenie. Zalecanym podejściem jest wysłanie tokena w niestandardowym nagłówku HTTP.
Na przykład:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}