Lorsque vous comprénez l'impact de App Check sur vos utilisateurs et que vous êtes prêt à continuer, vous pouvez activer l'application de App Check pour les fonctions appelables.
Activer l'application des règles
Pour commencer à appliquer les exigences concernant les jetons App Check dans vos fonctions appelables, modifiez-les pour qu'elles vérifient la présence de jetons App Check valides, comme indiqué ci-dessous. Une fois l'application activée, toutes les requêtes non validées seront refusées.
Installez le SDK Cloud Functions.
Node.js (1re génération)
Mettez à jour la dépendance
firebase-functionsde votre projet vers la version 4.0.0 ou une version ultérieure:npm install firebase-functions@">=4.0.0"Node.js (2e génération)
Mettez à jour la dépendance
firebase-functionsde votre projet vers la version 4.0.0 ou une version ultérieure:npm install firebase-functions@">=4.0.0"Python (bêta)
Ajoutez
firebase-functionsàfunctions/requirements.txt:firebase-functions >= 0.1.0Modifiez ensuite les dépendances dans l'environnement virtuel de votre projet:
./venv/bin/pip install -r requirements.txtActivez l'option d'environnement d'exécution d'application App Check pour votre fonction:
Node.js (1re génération)
const functions = require("firebase-functions/v1"); exports.yourV1CallableFunction = functions .runWith({ enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens. }) .https.onCall((data, context) => { // context.app contains data from App Check, including the app ID. // Your function logic follows. ... });Node.js (2e génération)
const { onCall } = require("firebase-functions/v2/https"); exports.yourV2CallableFunction = onCall( { enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens. }, (request) => { // request.app contains data from App Check, including the app ID. // Your function logic follows. ... } );Python (bêta)
from firebase_functions import https_fn @https_fn.on_call( enforce_app_check=True # Reject requests with missing or invalid App Check tokens. ) def your_callable_function(req: https_fn.CallableRequest) -> https_fn.Response: # req.app contains data from App Check, including the app ID. # Your function logic follows. ...Redéployez vos fonctions:
firebase deploy --only functions
Une fois ces modifications déployées, vos fonctions appelables nécessiteront des jetons App Check valides. Les SDK clients Cloud Functions associent automatiquement un jeton App Check lorsque vous appelez une fonction appelable.
Protection contre le rejeu (bêta)
Pour protéger une fonction appelable contre les attaques par rejeu, vous pouvez utiliser le jeton App Check après l'avoir validé. Une fois le jeton utilisé, il ne peut plus être utilisé.
Notez que l'utilisation de la protection contre la relecture ajoute un aller-retour réseau à la validation du jeton, ce qui ajoute de la latence à l'appel de fonction. C'est pourquoi la plupart des applications n'activent généralement la protection contre la relecture que sur les points de terminaison particulièrement sensibles.
Pour consommer des jetons:
Dans la console Cloud, attribuez le rôle "Vérificateur de jetons Firebase App Check" au compte de service utilisé par la fonction.
- Si vous initialisez explicitement le SDK Admin et que vous avez spécifié les identifiants du compte de service du SDK Admin de votre projet, le rôle requis est déjà accordé.
- Si vous utilisez Cloud Functions de première génération avec la configuration par défaut du SDK Admin, attribuez le rôle au compte de service App Engine par défaut. Consultez la section Modifier les autorisations des comptes de service.
- Si vous utilisez des fonctions Cloud de deuxième génération avec la configuration par défaut du SDK Admin, attribuez le rôle au compte de service Compute par défaut.
Définissez
consumeAppCheckTokensurtruedans la définition de votre fonction:Node.js (1re génération)
const functions = require("firebase-functions/v1"); exports.yourV1CallableFunction = functions .runWith({ enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens. consumeAppCheckToken: true // Consume the token after verification. }) .https.onCall((data, context) => { // context.app contains data from App Check, including the app ID. // Your function logic follows. ... });Node.js (2e génération)
const { onCall } = require("firebase-functions/v2/https"); exports.yourV2CallableFunction = onCall( { enforceAppCheck: true, // Reject requests with missing or invalid App Check tokens. consumeAppCheckToken: true // Consume the token after verification. }, (request) => { // request.app contains data from App Check, including the app ID. // Your function logic follows. ... } );Mettez à jour le code client de votre application pour acquérir des jetons à usage limité consommables lorsque vous appelez la fonction:
Swift
let options = HTTPSCallableOptions(requireLimitedUseAppCheckTokens: true) let yourCallableFunction = Functions.functions().httpsCallable("yourCallableFunction", options: options) do { let result = try await yourCallableFunction.call() } catch { // ... }Web
import { getFunctions, httpsCallable } from "firebase/functions"; const yourCallableFunction = httpsCallable( getFunctions(), "yourCallableFunction", { limitedUseAppCheckTokens: true }, ); await yourCallableFunction();Kotlin
val yourCallableFunction = Firebase.functions.getHttpsCallable("yourCallableFunction") { limitedUseAppCheckTokens = true } val result = yourCallableFunction.call().await()Java
HttpsCallableReference yourCallableFunction = FirebaseFunctions.getInstance().getHttpsCallable( "yourCallableFunction", new HttpsCallableOptions.Builder() .setLimitedUseAppCheckTokens(true) .build() ); Task<HttpsCallableResult> result = yourCallableFunction.call();