Catch up on highlights from Firebase at Google I/O 2023. Learn more

احمِ الموارد بخلاف Firebase باستخدام App Check في تطبيقات الويب

يمكنك حماية موارد تطبيقك بخلاف Firebase ، مثل الخلفيات المستضافة ذاتيًا ، باستخدام App Check. للقيام بذلك ، سوف تحتاج إلى القيام بالأمرين التاليين:

  • قم بتعديل عميل التطبيق الخاص بك لإرسال رمز التحقق من التطبيق جنبًا إلى جنب مع كل طلب إلى الواجهة الخلفية ، كما هو موضح في هذه الصفحة.
  • قم بتعديل الواجهة الخلفية للمطالبة برمز مميز صالح للتحقق من التطبيق مع كل طلب ، كما هو موضح في Verify App Check tokens من خلفية مخصصة .

قبل ان تبدأ

أضف App Check إلى تطبيقك ، إما باستخدام موفر reCAPTCHA v3 أو مزود reCAPTCHA Enterprise أو مزودًا مخصصًا .

إرسال رموز التحقق من التطبيق مع طلبات الخلفية

في عميل التطبيق الخاص بك ، قبل كل طلب ، احصل على رمز مميز صالح وغير منتهي الصلاحية للتحقق من التطبيق مع appCheck().getToken() . ستقوم مكتبة App Check بتحديث الرمز المميز إذا لزم الأمر.

بمجرد حصولك على رمز صالح ، أرسله مع الطلب إلى الواجهة الخلفية الخاصة بك. تعود تفاصيل كيفية تحقيق ذلك إليك ، ولكن لا ترسل رموز التحقق من التطبيق كجزء من عناوين URL ، بما في ذلك في معلمات الاستعلام ، لأن هذا يجعلها عرضة للتسرب والاعتراض العرضي. يرسل المثال التالي الرمز المميز في رأس HTTP المخصص ، وهو الأسلوب الموصى به.

Web modular API

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};
appcheck_nonfirebase.js

Web namespaced API

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};
index.js

إعادة الحماية (تجريبي)

عند تقديم طلب إلى نقطة نهاية مكّنت لها الحماية من إعادة التشغيل ، احصل على رمز باستخدام getLimitedUseToken() بدلاً من getToken() :

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);