Chroń zasoby inne niż Firebase za pomocą sprawdzania aplikacji w aplikacjach internetowych

Za pomocą Sprawdzania aplikacji możesz chronić zasoby swojej aplikacji inne niż Firebase, takie jak własne backendy. Aby to zrobić, musisz wykonać obie poniższe czynności:

Zanim zaczniesz

Dodaj Sprawdzanie aplikacji do swojej aplikacji, korzystając z dostawcy reCAPTCHA Enterprise lub dostawcy niestandardowego .

Wysyłaj tokeny sprawdzania aplikacji z żądaniami zaplecza

W kliencie aplikacji przed każdym żądaniem uzyskaj ważny, nieważny token sprawdzania aplikacji za pomocą appCheck().getToken() . W razie potrzeby biblioteka App Check odświeży token.

Gdy już będziesz mieć prawidłowy token, wyślij go wraz z żądaniem do swojego backendu. Szczegóły, jak to osiągnąć, zależą od Ciebie, ale nie wysyłaj tokenów Sprawdzania aplikacji jako części adresów URL , w tym w parametrach zapytania, ponieważ naraża to je na przypadkowy wyciek i przechwycenie. Poniższy przykład wysyła token w niestandardowym nagłówku HTTP, co jest zalecanym podejściem.

Web modular API

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

Web namespaced API

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

Ochrona przed powtórkami (beta)

Wysyłając żądanie do punktu końcowego, dla którego włączono ochronę przed powtarzaniem , zdobądź token za pomocą getLimitedUseToken() zamiast getToken() :

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);