Możesz używać App Check do ochrony niestandardowych zasobów backendu innych niż Google, które są używane w Twojej aplikacji, np. do hostowanego samodzielnie backendu. Aby to zrobić, musisz wykonać te 2 czynności:
- Zmodyfikuj klienta aplikacji, aby wysyłać token Sprawdzania aplikacji wraz z każdą prośbą do backendu, zgodnie z opisem na tej stronie.
- Zmodyfikuj backend, aby wymagać prawidłowego tokena Sprawdzania aplikacji przy każdym żądaniu, zgodnie z opisem w artykule Weryfikowanie tokenów Sprawdzania aplikacji z niestandardowego backendu.
Zanim zaczniesz
Dodaj do aplikacji funkcję sprawdzania aplikacji, korzystając z domyślnych dostawców.
Wysyłanie tokenów Sprawdzania aplikacji z żądaniami backendu
Aby mieć pewność, że żądania backendu zawierają prawidłowy, niewygasły token Sprawdzania aplikacji, poprzedzaj każde żądanie wywołaniem getToken(). W razie potrzeby biblioteka App Check odświeży token.
Gdy masz prawidłowy token, prześlij go wraz z żądaniem do backendu. Szczegóły tego procesu zależą od Ciebie, ale nie wysyłaj tokenów App Check w adresach URL, w tym w parametrach zapytań, ponieważ spowoduje to ich narażenie na przypadkowe wycieki i przechwytywanie. Zalecamy wysyłanie tokena w niestandardowym nagłówku HTTP.
Przykład:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}