Schützen Sie Nicht-Firebase-Ressourcen mit App Check

Sie können die Nicht-Firebase-Ressourcen Ihrer App, wie z. B. selbst gehostete Back-Ends, mit App Check schützen. Dazu müssen Sie die beiden folgenden Schritte ausführen:

Bevor Sie beginnen

Fügen Sie Ihrer App App Check hinzu, indem Sie die Standardanbieter verwenden .

Senden Sie App Check-Tokens mit Backend-Anfragen

Um sicherzustellen, dass Ihre Back-End-Anforderungen ein gültiges, nicht abgelaufenes App-Check-Token enthalten, stellen Sie jeder Anforderung einen Aufruf von getToken() . Die App Check-Bibliothek aktualisiert das Token bei Bedarf.

Sobald Sie ein gültiges Token haben, senden Sie es zusammen mit der Anfrage an Ihr Backend. Wie Sie dies im Einzelnen erreichen, liegt bei Ihnen, aber senden Sie App Check-Token nicht als Teil von URLs , auch nicht in Abfrageparametern, da sie dadurch anfällig für versehentliches Durchsickern und Abfangen werden. Der empfohlene Ansatz besteht darin, das Token in einem benutzerdefinierten HTTP-Header zu senden.

Zum Beispiel:

void callApiExample() async {
    final appCheckToken = await FirebaseAppCheck.instance.getToken();
    if (appCheckToken != null) {
        final response = await http.get(
            Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
            headers: {"X-Firebase-AppCheck": appCheckToken},
        );
    } else {
        // Error: couldn't get an App Check token.
    }
}