Catch up on everthing we announced at this year's Firebase Summit. Learn more

Защитите ресурсы, не относящиеся к Firebase, с помощью проверки приложений в веб-приложениях

Вы можете защитить ресурсы своего приложения, не относящиеся к Firebase, такие как серверные ВМ, размещенные на собственном хостинге, с помощью проверки приложений. Для этого вам нужно будет выполнить оба следующих действия:

  • Измените клиент приложения для отправки токена проверки приложения вместе с каждым запросом на серверную часть, как описано на этой странице.
  • Измените бэкенд требовать действительный App Проверьте маркер с каждым запросом, как описано в разделе Проверка App Проверить маркеры из пользовательского бэкэндом .

Прежде чем вы начнете

Добавить App Проверьте , чтобы ваше приложение, используя либо по умолчанию ReCaptcha поставщика v3 , или пользовательский поставщик .

Отправка токенов проверки приложений с помощью внутренних запросов

В клиенте приложения, перед каждым запросом, получить годную непросроченную, App Check токен appCheck().getToken() . При необходимости библиотека проверки приложений обновит токен.

Как только у вас появится действующий токен, отправьте его вместе с запросом на серверную часть. Специфика того , как вы сделать это до вас, но не отправлять App Проверьте маркеры как часть URL - адресов, в том числе параметров запроса, так как это делает их уязвимыми для случайной утечки и перехвата. В следующем примере токен отправляется в настраиваемом HTTP-заголовке, что является рекомендуемым подходом.

Веб-версия 9

const { initializeAppCheck, getToken } = require('firebase/app-check');

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

Веб-версия 8

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};