Puede proteger los recursos que no son de Firebase de su aplicación, como los backends autohospedados, con App Check. Para hacerlo, deberá hacer las dos cosas siguientes:
- Modifique su cliente de aplicación para enviar un token de verificación de aplicación junto con cada solicitud a su backend, como se describe en esta página.
- Modifique su backend para requerir un token de verificación de aplicaciones válido con cada solicitud, como se describe en Verificar tokens de verificación de aplicaciones desde un backend personalizado .
Antes de que empieces
Agregue App Check a su aplicación, utilizando los proveedores predeterminados .
Enviar tokens de verificación de aplicaciones con solicitudes de back-end
Para asegurarse de que sus solicitudes de back-end incluyan un token de verificación de aplicación válido y vigente, preceda cada solicitud con una llamada a getToken()
. La biblioteca App Check actualizará el token si es necesario.
Una vez que tenga un token válido, envíelo junto con la solicitud a su backend. Los detalles de cómo lograr esto dependen de usted, pero no envíe tokens de verificación de aplicaciones como parte de las URL , incluso en los parámetros de consulta, ya que esto los hace vulnerables a filtraciones e intercepciones accidentales. El enfoque recomendado es enviar el token en un encabezado HTTP personalizado.
Por ejemplo:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}