حماية موارد الخلفية المخصّصة باستخدام ميزة "فحص التطبيقات" في تطبيقات الويب

يمكنك استخدام App Check لحماية موارد الخلفية المخصّصة غير التابعة لـ Google في تطبيقك، مثل الخلفية المستضافة ذاتيًا. لإجراء ذلك، عليك تنفيذ كلا الإجراءَين التاليَين:

قبل البدء

أضِف App Check إلى تطبيقك باستخدام إما مقدّم خدمة reCAPTCHA Enterprise أو مقدّم خدمة مخصّص.

إرسال الرموز المميّزة App Check مع طلبات الخلفية

في برنامج تطبيقك، قبل كل طلب، احصل على رمز مميّز صالح وغير منتهي الصلاحية لخدمة "التحقّق من التطبيق" باستخدام App Check token with appCheck().getToken(). ستعيد مكتبة App Check إنشاء الرمز المميّز إذا لزم الأمر.

بعد الحصول على رمز مميّز صالح، أرسِله مع الطلب إلى الخلفية. يعود إليك تحديد الطريقة التي تريد استخدامها، ولكن لا تُرسِل App Check الرموز المميّزة كجزء من عناوين URL، بما في ذلك في مَعلمات طلب البحث، لأنّ ذلك يعرّضها لخطر التسريب والاعتراض غير المقصودَين. يرسل المثال التالي الرمز المميّز في عنوان HTTP مخصّص، وهو الأسلوب المقترَح.

Web

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};
appcheck_nonfirebase.js

Web

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};
index.js

ميزة الحماية من إعادة التشغيل (إصدار تجريبي)

عند إرسال طلب إلى نقطة نهاية فعّلت فيها ميزة الحماية من إعادة التشغيل، احصل على رمز مميّز باستخدام getLimitedUseToken() بدلاً من getToken():

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);