使用 Web 應用程式中的 App Check 保護非 Firebase 資源

您可以使用 App Check 保護應用程式的非 Firebase 資源,例如自託管後端。為此,您需要執行以下兩項操作:

  • 修改您的應用程式用戶端,將應用程式檢查令牌與每個請求一起傳送到您的後端,如本頁所述。
  • 修改您的後端,使每個請求都需要有效的應用程式檢查令牌,如從自訂後端驗證應用程式檢查令牌中所述。

在你開始之前

使用reCAPTCHA Enterprise 提供者自訂提供者將 App Check 新增至您的應用程式。

透過後端請求發送 App Check 令牌

在您的應用程式用戶端中,在每個請求之前,使用appCheck().getToken()取得有效的、未過期的應用程式檢查令牌。如果需要,App Check 庫將會刷新令牌。

獲得有效令牌後,將其與請求一起發送到後端。如何完成此操作的具體細節取決於您,但不要將 App Check 令牌作為 URL 的一部分(包括查詢參數)發送,因為這會使它們容易受到意外洩漏和攔截。以下範例在自訂 HTTP 標頭中傳送令牌,這是建議的方法。

Web modular API

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

Web namespaced API

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

重播保護(測試版)

當向已啟用重播保護的端點發出請求時,請使用getLimitedUseToken()而不是getToken()取得令牌:

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);