实现自定义 App Check 提供程序

App Check 内置了对多个提供方的支持:Apple 平台上的 DeviceCheck 和 App Attest、Android 上的 Play Integrity 以及 Web 应用中的 reCAPTCHA Enterprise(请参阅概览)。这些都是易于理解的提供程序,应该能满足大多数开发者的需求。不过,您也可以实现自己的自定义 App Check 提供程序。在以下情况下,需要使用自定义提供程序:

  • 您想使用除内置提供程序以外的其他提供程序。

  • 您想以不受支持的方式使用内置提供程序。

  • 您想使用 Apple、Android 和 Web 以外的平台验证设备。例如,您可以为桌面设备操作系统或物联网设备创建 App Check 提供方。

  • 您想在任何平台上实现自己的验证方法。

概览

若要实现自定义 App Check 提供方,您需要一个能够运行 Node.js Firebase Admin SDK 的安全后端环境。此环境可以是 Cloud FunctionsCloud Run 之类的容器平台,也可以是您自己的服务器。

在此环境中,您将提供一项网络可访问的服务,用于从应用客户端接收真实性证明,并在该证明通过真实性评估时返回一个 App Check 令牌。您用作真实性证明的具体指标将取决于您使用的第三方提供程序或您自己定义的指标(如果您要实现自定义逻辑)。

通常,您可以将此服务作为 REST 或 gRPC 端点公开,但具体细节由您决定。

创建令牌获取端点

  1. 安装并初始化 Admin SDK

  2. 创建一个可以从客户端接收真实性数据的网络可访问端点。例如,使用 Cloud Functions

    // Create endpoint at https://example-app.cloudfunctions.net/fetchAppCheckToken
    exports.fetchAppCheckToken = functions.https.onRequest((request, response) => {
      // ...
    });
    
  3. 向端点添加评估真实性数据的逻辑。这是自定义 App Check 提供方的核心逻辑,您必须自行编写。

  4. 如果您确定客户端是真实的,请使用 Admin SDK 创建一个 App Check 令牌并将其和相应的过期时间返回给客户端:

    const admin = require('firebase-admin');
    admin.initializeApp();
    
    // ...
    
    admin.appCheck().createToken(appId)
        .then(function (appCheckToken) {
          // Token expires in an hour.
          const expiresAt = Math.floor(Date.now() / 1000) + 60 * 60;
    
          // Return appCheckToken and expiresAt to the client.
        })
       .catch(function (err) {
         console.error('Unable to create App Check token.');
         console.error(err);
       });
    

    如果您无法验证客户端的真实性,请返回错误(例如,返回 HTTP 403 错误)。

  5. 可选:通过将 AppCheckTokenOptions 对象传递给 createToken(),为自定义提供方颁发的 App Check 令牌设置存留时间 (TTL)。您可以将 TTL 设置为 30 分钟到 7 天之间的任何值。设置此值时,请注意权衡以下几个方面:

    • 安全性:较短的 TTL 可以提供更强的安全性,因为它可以缩短攻击者可能滥用已泄露或者已被拦截的令牌的时长。
    • 性能:较短的 TTL 意味着您的应用将更频繁地执行证明操作。由于应用证明过程会在每次执行时增加网络请求的延迟时间,因此短 TTL 可能会影响应用的性能。

    对于大多数应用而言,默认的 TTL(1 小时)比较合理。

后续步骤

现在您已实现自定义提供程序的服务器端逻辑,接下来请了解如何通过 AppleAndroidWeb 客户端使用该逻辑。