Bảo vệ tài nguyên phụ trợ tuỳ chỉnh bằng tính năng Kiểm tra ứng dụng trên Android

Bạn có thể sử dụng App Check để bảo vệ các tài nguyên phụ trợ tuỳ chỉnh không phải của Google cho ứng dụng, chẳng hạn như phần phụ trợ tự lưu trữ của riêng bạn. Để làm như vậy, bạn cần thực hiện cả hai bước sau:

  • Sửa đổi ứng dụng khách để gửi mã thông báo App Check cùng với từng yêu cầu đến phần phụ trợ, như mô tả trên trang này.
  • Sửa đổi phần phụ trợ để yêu cầu mã thông báo App Check hợp lệ cho mọi yêu cầu, như mô tả trong phần Xác minh mã thông báo App Check từ phần phụ trợ tuỳ chỉnh.

Trước khi bắt đầu

Thêm App Check vào ứng dụng bằng cách sử dụng nhà cung cấp API Tính toàn vẹn của Play mặc định hoặc nhà cung cấp tuỳ chỉnh.

Gửi mã thông báo App Check bằng các yêu cầu phụ trợ

Để đảm bảo các yêu cầu phụ trợ của bạn bao gồm mã thông báo App Check hợp lệ, chưa hết hạn, hãy gói từng yêu cầu trong lệnh gọi đến getAppCheckToken(). Thư viện App Check sẽ làm mới mã thông báo nếu cần và bạn có thể truy cập vào mã thông báo trong trình nghe thành công của phương thức.

Sau khi bạn có mã thông báo hợp lệ, hãy gửi mã thông báo đó cùng với yêu cầu đến phần phụ trợ. Bạn có thể tuỳ ý thực hiện cách thức cụ thể, nhưng đừng gửi mã thông báo App Check dưới dạng một phần của URL, bao gồm cả trong tham số truy vấn, vì điều này khiến mã thông báo dễ bị rò rỉ và chặn ngoài ý muốn. Bạn nên gửi mã thông báo trong tiêu đề HTTP tuỳ chỉnh.

Ví dụ: nếu bạn sử dụng Retrofit:

Kotlin

class ApiWithAppCheckExample {
    interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        fun exampleData(
            @Header("X-Firebase-AppCheck") appCheckToken: String,
        ): Call<List<String>>
    }

    var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder()
        .baseUrl("https://yourbackend.example.com/")
        .build()
        .create(YourExampleBackendService::class.java)

    fun callApiExample() {
        Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken ->
            val token = appCheckToken.token
            val apiCall = yourExampleBackendService.exampleData(token)
            // ...
        }
    }
}

Java

public class ApiWithAppCheckExample {
    private interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        Call<List<String>> exampleData(
                @Header("X-Firebase-AppCheck") String appCheckToken);
    }

    YourExampleBackendService yourExampleBackendService = new Retrofit.Builder()
            .baseUrl("https://yourbackend.example.com/")
            .build()
            .create(YourExampleBackendService.class);

    public void callApiExample() {
        FirebaseAppCheck.getInstance()
                .getAppCheckToken(false)
                .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(@NonNull AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        Call<List<String>> apiCall =
                                yourExampleBackendService.exampleData(token);
                        // ...
                    }
                });
    }
}

Tính năng chống phát lại (thử nghiệm)

Khi đưa ra yêu cầu đến một điểm cuối mà bạn đã bật tính năng bảo vệ chống phát lại, hãy gói yêu cầu đó trong lệnh gọi đến getLimitedUseAppCheckToken() thay vì getAppCheckToken():

Kotlin

Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener {
    // ...
}

Java

FirebaseAppCheck.getInstance()
        .getLimitedUseAppCheckToken().addOnSuccessListener(
                new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        // ...
                    }
                }
        );