Method: projects.verifyAppCheckToken

Vérifie le jeton App Check donné et renvoie des signaux d'utilisation du jeton sur lesquels les appelants peuvent agir. Cette méthode n'est actuellement compatible qu'avec les jetons App Check échangés par les fournisseurs d'attestation suivants:

  • API Play Integrity
  • App Attest
  • DeviceCheck ( DCDevice jetons)
  • reCAPTCHA Enterprise
  • reCAPTCHA version 3
  • Fournisseurs personnalisés

Les jetons App Check échangés à partir des secrets de débogage sont également acceptés. Si vous appelez cette méthode sur un jeton App Check valide avec un fournisseur non compatible, une erreur HTTP 400 s'affiche.

Indique si ce jeton a déjà été utilisé avant cet appel. Si c'est la première fois que cette méthode voit le jeton App Check donné, le champ alreadyConsumed de la réponse sera absent. Le jeton donné sera alors marqué comme alreadyConsumed (défini sur true ) pour tous les appels ultérieurs de cette méthode pour ce jeton.

Notez que si le jeton App Check donné n'est pas valide, une erreur HTTP 403 est renvoyée à la place d'un objet de réponse, que le jeton ait déjà été utilisé ou non.

Actuellement, lors de l'évaluation de l'utilisation d'un jeton App Check, seuls les appels à cette méthode exacte sont comptabilisés. L'utilisation du jeton App Check ailleurs ne signifie pas qu'il est déjà utilisé.

L'appelant doit disposer de l'autorisation firebaseappcheck.appCheckTokens.verify pour appeler cette méthode. Cette autorisation fait partie du rôle de vérificateur de jetons Firebase App Check .

Requête HTTP

POST https://firebaseappcheck.googleapis.com/v1beta/{project=projects/*}:verifyAppCheckToken

L'URL utilise la syntaxe de transcodage gRPC .

Paramètres du chemin d'accès

Paramètres
project

string

Obligatoire. Nom de ressource relatif du projet pour lequel le jeton a été créé, au format suivant: 

projects/{project_number}

Si nécessaire, l'élément project_number peut être remplacé par l'ID du projet Firebase. Pour en savoir plus sur l'utilisation des identifiants de projet, consultez la norme AIP 2510 de Google.

Corps de la requête

Le corps de la requête contient des données présentant la structure suivante :

Représentation JSON 
{
  "appCheckToken": string
}
Champs
appCheckToken

string

Obligatoire. Jeton App Check à vérifier.

Les jetons App Check échangés à partir du fournisseur SafetyNet ne sont pas compatibles. Une erreur HTTP 400 est renvoyée.

Corps de la réponse

Message de réponse pour la méthode projects.verifyAppCheckToken .

Si la requête aboutit, le corps de la réponse contient des données qui ont la structure suivante :

Représentation JSON 
{
  "alreadyConsumed": boolean
}
Champs
alreadyConsumed

boolean

Indique si ce jeton a déjà été utilisé.

Si c'est la première fois que cette méthode voit le jeton App Check donné, ce champ sera omis de la réponse. Le jeton donné sera alors marqué comme alreadyConsumed (défini sur true ) pour tous les appels ultérieurs de cette méthode pour ce jeton.

Notez que si le jeton App Check donné n'est pas valide, une erreur HTTP 403 est renvoyée à la place d'une réponse contenant ce champ, que le jeton ait déjà été utilisé ou non.

Champs d'application des autorisations

Nécessite l'un des champs d'application OAuth suivants :

  • https://www.googleapis.com/auth/cloud-platform
  • https://www.googleapis.com/auth/firebase

Pour en savoir plus, consultez la page Présentation de l'authentification .