Save the date for Firebase Demo Day 2024. Learn how to build and run modern, AI-powered apps users love. Learn more.

דף זה תורגם על ידי Cloud Translation API.

הגנה על משאבים שאינם של Firebase באמצעות App Check באפליקציות אינטרנט

אפשר להגן על משאבים באפליקציה שלא קשורים ל-Firebase, כמו קצוות עורפיים באירוח עצמי, עם App Check. כדי לעשות זאת, צריך לבצע את שתי הפעולות הבאות:

צריך לשנות את לקוח האפליקציה כך שישלח אסימון App Check יחד עם כל בקשה לקצה העורפי, כפי שמתואר בדף הזה.
משנים את הקצה העורפי כך שיידרש אסימון App Check תקף בכל בקשה, כפי שמתואר במאמר אימות אסימוני App Check מקצה עורפי מותאם אישית.

לפני שמתחילים

מוסיפים את App Check לאפליקציה באמצעות ספק ReCAPTCHA Enterprise או ספק מותאם אישית.

שליחת אסימוני App Check עם בקשות לקצה העורפי

בלקוח האפליקציה, לפני כל בקשה, מקבלים אסימון App Check תקף ועדיין בתוקף באמצעות appCheck().getToken(). הספרייה App Check תחדש את האסימון במקרה הצורך.

אחרי שתקבלו אסימון תקף, עליכם לשלוח אותו יחד עם הבקשה לקצה העורפי. האופן שבו ניתן לעשות זאת תלוי בכם. אל תשלחו App Check אסימונים כחלק מכתובות URL, כולל בפרמטרים של שאילתה, כי שעלולות להיות חשופות לדליפה וליירוט בטעות. הבאים שולחת את האסימון בכותרת HTTP מותאמת אישית, וזו האפשרות המומלצת .

Web

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};appcheck_nonfirebase.js

Web

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};index.js

הגנה מפני הפעלה חוזרת (בטא)

כששולחים בקשה לנקודת קצה שבה הפעלתם הגנה מפני הפעלה חוזרת, צריך לקבל אסימון באמצעות getLimitedUseToken() במקום getToken():

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);