Protégez les ressources non Firebase avec App Check

Vous pouvez protéger les ressources non Firebase de votre application, telles que les backends auto-hébergés, avec App Check. Pour ce faire, vous devrez effectuer les deux opérations suivantes :

Avant que tu commences

Ajoutez App Check à votre application, en utilisant les fournisseurs par défaut .

Envoyer des jetons App Check avec des requêtes backend

Pour vous assurer que vos requêtes backend incluent un jeton App Check valide et non expiré, faites précéder chaque requête d'un appel à getToken() . La bibliothèque App Check actualisera le jeton si nécessaire.

Une fois que vous avez un jeton valide, envoyez-le avec la demande à votre backend. C'est à vous de décider comment procéder, mais n'envoyez pas de jetons App Check dans le cadre d'URL , y compris dans les paramètres de requête, car cela les rend vulnérables aux fuites et aux interceptions accidentelles. L'approche recommandée consiste à envoyer le jeton dans un en-tête HTTP personnalisé.

Par example:

void callApiExample() async {
    final appCheckToken = await FirebaseAppCheck.instance.getToken();
    if (appCheckToken != null) {
        final response = await http.get(
            Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
            headers: {"X-Firebase-AppCheck": appCheckToken},
        );
    } else {
        // Error: couldn't get an App Check token.
    }
}