Vérifier les jetons App Check à partir d'un backend personnalisé

Vous pouvez protéger les ressources non Firebase de votre application, telles que les backends auto-hébergés, avec App Check. Pour ce faire, vous devez effectuer les deux opérations suivantes:

  • Modifiez le client de votre application pour qu'il envoie un jeton App Check avec chaque requête à votre backend, comme décrit sur les pages pour iOS+, Android et Web.
  • Modifiez votre backend pour exiger un jeton App Check valide avec chaque requête, comme décrit sur cette page.

Validation des jetons

Pour valider les jetons App Check sur votre backend, ajoutez une logique à vos points de terminaison d'API qui effectue les opérations suivantes:

  • Vérifiez que chaque requête inclut un jeton App Check.

  • Vérifiez le jeton App Check à l'aide du SDK Admin.

    Si la validation réussit, le SDK Admin renvoie le jeton App Check décodé. Si la validation réussit, cela signifie que le jeton provient d'une application appartenant à votre projet Firebase.

Refusez toute requête qui échoue à l'une de ces vérifications. Exemple :

Node.js

Si vous ne l'avez pas déjà fait, installez le SDK Admin Node.js.

Ensuite, en utilisant l'intergiciel Express.js comme exemple:

import express from "express";
import { initializeApp } from "firebase-admin/app";
import { getAppCheck } from "firebase-admin/app-check";

const expressApp = express();
const firebaseApp = initializeApp();

const appCheckVerification = async (req, res, next) => {
    const appCheckToken = req.header("X-Firebase-AppCheck");

    if (!appCheckToken) {
        res.status(401);
        return next("Unauthorized");
    }

    try {
        const appCheckClaims = await getAppCheck().verifyToken(appCheckToken);

        // If verifyToken() succeeds, continue with the next middleware
        // function in the stack.
        return next();
    } catch (err) {
        res.status(401);
        return next("Unauthorized");
    }
}

expressApp.get("/yourApiEndpoint", [appCheckVerification], (req, res) => {
    // Handle request.
});

Python

Si vous ne l'avez pas déjà fait, installez le SDK Python Admin.

Ensuite, dans vos gestionnaires de point de terminaison d'API, appelez app_check.verify_token() et refusez la requête en cas d'échec. Dans l'exemple suivant, une fonction décorée avec @before_request effectue cette tâche pour toutes les requêtes:

import firebase_admin
from firebase_admin import app_check
import flask
import jwt

firebase_app = firebase_admin.initialize_app()
flask_app = flask.Flask(__name__)

@flask_app.before_request
def verify_app_check() -> None:
    app_check_token = flask.request.headers.get("X-Firebase-AppCheck", default="")
    try:
        app_check_claims = app_check.verify_token(app_check_token)
        # If verify_token() succeeds, okay to continue to route handler.
    except (ValueError, jwt.exceptions.DecodeError):
        flask.abort(401)

@flask_app.route("/yourApiEndpoint")
def your_api_endpoint(request: flask.Request):
    # Handle request.
    ...

Accéder

Si vous ne l'avez pas déjà fait, installez le SDK Admin pour Go.

Ensuite, dans vos gestionnaires de point de terminaison d'API, appelez appcheck.Client.VerifyToken() et rejetez la requête en cas d'échec. Dans l'exemple suivant, une fonction de wrapper ajoute cette logique aux gestionnaires de point de terminaison:

package main

import (
    "context"
    "log"
    "net/http"

    firebaseAdmin "firebase.google.com/go/v4"
    "firebase.google.com/go/v4/appcheck"
)

var (
    appCheck *appcheck.Client
)

func main() {
    app, err := firebaseAdmin.NewApp(context.Background(), nil)
    if err != nil {
        log.Fatalf("error initializing app: %v\n", err)
    }

    appCheck, err = app.AppCheck(context.Background())
    if err != nil {
        log.Fatalf("error initializing app: %v\n", err)
    }

    http.HandleFunc("/yourApiEndpoint", requireAppCheck(yourApiEndpointHandler))
    log.Fatal(http.ListenAndServe(":8080", nil))
}

func requireAppCheck(handler func(http.ResponseWriter, *http.Request)) func(http.ResponseWriter, *http.Request) {
    wrappedHandler := func(w http.ResponseWriter, r *http.Request) {
        appCheckToken, ok := r.Header[http.CanonicalHeaderKey("X-Firebase-AppCheck")]
        if !ok {
            w.WriteHeader(http.StatusUnauthorized)
            w.Write([]byte("Unauthorized."))
            return
        }

        _, err := appCheck.VerifyToken(appCheckToken[0])
        if err != nil {
            w.WriteHeader(http.StatusUnauthorized)
            w.Write([]byte("Unauthorized."))
            return
        }

        // If VerifyToken() succeeds, continue with the provided handler.
        handler(w, r)
    }
    return wrappedHandler
}

func yourApiEndpointHandler(w http.ResponseWriter, r *http.Request) {
    // Handle request.
}

Autre

Si votre backend est écrit dans un autre langage, vous pouvez utiliser une bibliothèque JWT à usage général, comme celle disponible sur jwt.io, pour valider les jetons App Check.

Votre logique de validation des jetons doit suivre les étapes suivantes:

  1. Obtenez le jeu de clés Web JSON (JWK) publiques Firebase App Check à partir du point de terminaison JWKS App Check : https://firebaseappcheck.googleapis.com/v1/jwks
  2. Vérifiez la signature du jeton App Check pour vous assurer qu'il est légitime.
  3. Assurez-vous que l'en-tête du jeton utilise l'algorithme RS256.
  4. Assurez-vous que l'en-tête du jeton est de type JWT.
  5. Assurez-vous que le jeton est émis par Firebase App Check dans votre projet.
  6. Assurez-vous que le jeton n'a pas expiré.
  7. Assurez-vous que l'audience du jeton correspond à votre projet.
  8. Facultatif: Vérifiez que l'objet du jeton correspond à l'ID de votre application.

Les fonctionnalités des bibliothèques JWT peuvent varier. Veillez à effectuer manuellement toutes les étapes non gérées par la bibliothèque de votre choix.

L'exemple suivant effectue les étapes nécessaires en Ruby à l'aide du gem jwt comme couche de middleware Rack.

require 'json'
require 'jwt'
require 'net/http'
require 'uri'

class AppCheckVerification
def initialize(app, options = {})
    @app = app
    @project_number = options[:project_number]
end

def call(env)
    app_id = verify(env['HTTP_X_FIREBASE_APPCHECK'])
    return [401, { 'Content-Type' => 'text/plain' }, ['Unauthenticated']] unless app_id
    env['firebase.app'] = app_id
    @app.call(env)
end

def verify(token)
    return unless token

    # 1. Obtain the Firebase App Check Public Keys
    # Note: It is not recommended to hard code these keys as they rotate,
    # but you should cache them for up to 6 hours.
    uri = URI('https://firebaseappcheck.googleapis.com/v1/jwks')
    jwks = JSON(Net::HTTP.get(uri))

    # 2. Verify the signature on the App Check token
    payload, header = JWT.decode(token, nil, true, jwks: jwks, algorithms: 'RS256')

    # 3. Ensure the token's header uses the algorithm RS256
    return unless header['alg'] == 'RS256'

    # 4. Ensure the token's header has type JWT
    return unless header['typ'] == 'JWT'

    # 5. Ensure the token is issued by App Check
    return unless payload['iss'] == "https://firebaseappcheck.googleapis.com/#{@project_number}"

    # 6. Ensure the token is not expired
    return unless payload['exp'] > Time.new.to_i

    # 7. Ensure the token's audience matches your project
    return unless payload['aud'].include? "projects/#{@project_number}"

    # 8. The token's subject will be the app ID, you may optionally filter against
    # an allow list
    payload['sub']
rescue
end
end

class Application
def call(env)
    [200, { 'Content-Type' => 'text/plain' }, ["Hello app #{env['firebase.app']}"]]
end
end

use AppCheckVerification, project_number: 1234567890
run Application.new

Protection contre le rejeu (bêta)

Pour protéger un point de terminaison contre les attaques par rejeu, vous pouvez consommer le jeton App Check après l'avoir validé afin qu'il ne puisse être utilisé qu'une seule fois.

L'utilisation de la protection contre la relecture ajoute un aller-retour réseau à l'appel verifyToken(), ce qui ajoute de la latence à tout point de terminaison qui l'utilise. C'est pourquoi nous vous recommandons d'activer la protection contre la relecture uniquement sur les points de terminaison particulièrement sensibles.

Pour utiliser la protection contre la relecture, procédez comme suit:

  1. Dans la console Cloud, attribuez le rôle "Vérificateur de jetons Firebase App Check" au compte de service utilisé pour valider les jetons.

    • Si vous avez initialisé le SDK Admin avec les identifiants du compte de service du SDK Admin que vous avez téléchargés depuis la console Firebase, le rôle requis est déjà accordé.
    • Si vous utilisez Cloud Functions de première génération avec la configuration par défaut du SDK Admin, attribuez le rôle au compte de service App Engine par défaut. Consultez la section Modifier les autorisations des comptes de service.
    • Si vous utilisez des fonctions Cloud de deuxième génération avec la configuration par défaut du SDK Admin, attribuez le rôle au compte de service Compute par défaut.
  2. Ensuite, pour consommer un jeton, transmettez { consume: true } à la méthode verifyToken() et examinez l'objet de résultat. Si la propriété alreadyConsumed est true, refusez la requête ou prenez une mesure corrective, par exemple en demandant à l'appelant de passer d'autres vérifications.

    Exemple :

    const appCheckClaims = await getAppCheck().verifyToken(appCheckToken, { consume: true });
    
    if (appCheckClaims.alreadyConsumed) {
        res.status(401);
        return next('Unauthorized');
    }
    
    // If verifyToken() succeeds and alreadyConsumed is not set, okay to continue.
    

    Cette opération permet de valider le jeton, puis de le marquer comme consommé. Les futures invocations de verifyToken(appCheckToken, { consume: true }) sur le même jeton définiront alreadyConsumed sur true. (Notez que verifyToken() ne rejette pas un jeton consommé ni ne vérifie même s'il est consommé si consume n'est pas défini.)

Lorsque vous activez cette fonctionnalité pour un point de terminaison particulier, vous devez également mettre à jour le code client de votre application pour acquérir des jetons à usage limité à utiliser avec le point de terminaison. Consultez la documentation côté client pour les plates-formes Apple, Android et le Web.