Puedes usar App Check para proteger los recursos de backend personalizados que no sean de Google de tu app, como tu propio backend autoalojado. Para ello, deberás hacer lo siguiente:
- Modifica el cliente de la app para que envíe un token de App Check junto con cada solicitud al backend, como se describe en esta página.
- Modifica tu backend para que requiera un token de App Check válido con cada solicitud, como se describe en Verifica los tokens de App Check a partir de un backend personalizado.
Antes de comenzar
Agrega App Check a tu app con el proveedor de Play Integrity predeterminado o un proveedor personalizado.
Envía tokens de App Check con solicitudes de backend
Para garantizar que las solicitudes de backend incluyan un token de App Check válido que no haya vencido, une cada solicitud en una llamada a getAppCheckToken()
. La biblioteca de App Check actualizará el token de ser necesario. Además, puedes acceder al token en el objeto de escucha que detecta el resultado correcto del método.
Una vez que tengas un token válido, envíalo junto con la solicitud al backend. Tú decides los detalles para lograr hacer esto, pero no envíes tokens de App Check como parte de las URLs, incluidos los parámetros de consulta, ya que esto los hace vulnerables a intercepciones y filtraciones accidentales. El enfoque recomendado es enviar el token en un encabezado HTTP personalizado.
Por ejemplo, si usas Retrofit, haz lo siguiente:
Kotlin
class ApiWithAppCheckExample { interface YourExampleBackendService { @GET("yourExampleEndpoint") fun exampleData( @Header("X-Firebase-AppCheck") appCheckToken: String, ): Call<List<String>> } var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService::class.java) fun callApiExample() { Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken -> val token = appCheckToken.token val apiCall = yourExampleBackendService.exampleData(token) // ... } } }
Java
public class ApiWithAppCheckExample { private interface YourExampleBackendService { @GET("yourExampleEndpoint") Call<List<String>> exampleData( @Header("X-Firebase-AppCheck") String appCheckToken); } YourExampleBackendService yourExampleBackendService = new Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService.class); public void callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(@NonNull AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); Call<List<String>> apiCall = yourExampleBackendService.exampleData(token); // ... } }); } }
Protección contra la repetición (beta)
Cuando realices una solicitud a un extremo para el que habilitaste la
protección contra la repetición, une la solicitud en una llamada a getLimitedUseAppCheckToken()
en lugar de
getAppCheckToken()
:
Kotlin
Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener { // ... }
Java
FirebaseAppCheck.getInstance() .getLimitedUseAppCheckToken().addOnSuccessListener( new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); // ... } } );