Za pomocą funkcji Sprawdzanie aplikacji możesz chronić zasoby swojej aplikacji inne niż Firebase, takie jak samodzielnie hostowane backendy. Aby to zrobić, musisz wykonać obie poniższe czynności:
- Zmodyfikuj klienta aplikacji, aby wysyłał token sprawdzania aplikacji wraz z każdym żądaniem do zaplecza, zgodnie z opisem na tej stronie.
- Zmodyfikuj swój backend, tak aby wymagał prawidłowego tokena sprawdzania aplikacji przy każdym żądaniu, zgodnie z opisem w sekcji Weryfikacja tokenów sprawdzania aplikacji z niestandardowego zaplecza .
Zanim zaczniesz
Dodaj Sprawdzanie aplikacji do swojej aplikacji, korzystając z dostawcy reCAPTCHA v3 , dostawcy reCAPTCHA Enterprise lub dostawcy niestandardowego .
Wysyłaj tokeny sprawdzania aplikacji z żądaniami zaplecza
W swoim kliencie aplikacji przed każdym żądaniem uzyskaj prawidłowy, niewygasły token kontroli aplikacji za pomocą appCheck().getToken() . W razie potrzeby biblioteka sprawdzania aplikacji odświeży token.
Po uzyskaniu prawidłowego tokena wyślij go wraz z żądaniem do swojego zaplecza. Sposób, w jaki to zrobisz, zależy od Ciebie, ale nie wysyłaj tokenów sprawdzania aplikacji jako części adresów URL , w tym w parametrach zapytania, ponieważ naraża to je na przypadkowe wycieki i przechwycenie. Poniższy przykład wysyła token w niestandardowym nagłówku HTTP, co jest zalecanym podejściem.
Web modular API
import { initializeAppCheck, getToken } from 'firebase/app-check';
const appCheck = initializeAppCheck(
app,
{ provider: provider } // ReCaptchaV3Provider or CustomProvider
);
const callApiWithAppCheckExample = async () => {
let appCheckTokenResponse;
try {
appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
} catch (err) {
// Handle any errors if the token was not retrieved.
return;
}
// Include the App Check token with requests to your server.
const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
headers: {
'X-Firebase-AppCheck': appCheckTokenResponse.token,
}
});
// Handle response from your backend.
};Web namespaced API
const callApiWithAppCheckExample = async () => {
let appCheckTokenResponse;
try {
appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
} catch (err) {
// Handle any errors if the token was not retrieved.
return;
}
// Include the App Check token with requests to your server.
const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
headers: {
'X-Firebase-AppCheck': appCheckTokenResponse.token,
}
});
// Handle response from your backend.
};Ochrona powtórek (beta)
Wysyłając żądanie do punktu końcowego, dla którego włączono ochronę przed odtwarzaniem , uzyskaj token za pomocą getLimitedUseToken() zamiast getToken() :
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);