Możesz chronić zasoby aplikacji spoza Firebase, takie jak własne backendy, dzięki App Check. Aby to zrobić, musisz wykonać obie te czynności:
- Zmodyfikuj klienta aplikacji, aby wysyłał token App Check przy każdym żądaniu do backendu, w sposób opisany na tej stronie.
- Zmodyfikuj backend, aby wymagał prawidłowego tokena App Check przy każdym żądaniu. zgodnie z opisem w sekcji Weryfikowanie tokenów App Check z niestandardowego backendu.
Zanim zaczniesz
Dodaj App Check do aplikacji za pomocą Dostawca reCAPTCHA Enterprise albo dostawcę niestandardowego.
Wyślij tokeny (App Check) z żądaniami backendu
Przed każdym żądaniem w aplikacji klienckiej aplikacji uzyskaj prawidłowy, niewygasły adres App Check
token z appCheck().getToken()
. Biblioteka App Check odświeży
w razie potrzeby token.
Po uzyskaniu prawidłowego tokena wyślij go do backendu wraz z żądaniem. jak to zrobisz, zależy od Ciebie, ale nie wysyłaj App Check jako część adresów URL, w tym w parametrach zapytania, ponieważ narażają je na przypadkowe wyciek i przechwycenie. Poniżej wysyła token w niestandardowym nagłówku HTTP, co jest zalecane jak ważna jest pokora.
Web
import { initializeAppCheck, getToken } from 'firebase/app-check'; const appCheck = initializeAppCheck( app, { provider: provider } // ReCaptchaV3Provider or CustomProvider ); const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Web
const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Ochrona ponownego odtwarzania (beta)
Podczas wysyłania żądania do punktu końcowego, dla którego włączono
ochrony przed ponownym odtwarzaniem,
pobierz token za pomocą getLimitedUseToken()
zamiast getToken()
:
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);