Bảo vệ các tài nguyên không phải Firebase bằng tính năng Kiểm tra ứng dụng

Bạn có thể bảo vệ những tài nguyên không phải Firebase của ứng dụng, chẳng hạn như các phần phụ trợ tự lưu trữ, bằng tính năng Kiểm tra ứng dụng. Để thực hiện điều này, bạn cần phải thực hiện cả hai việc sau:

Trước khi bắt đầu

Thêm tính năng Kiểm tra ứng dụng vào ứng dụng của bạn bằng cách sử dụng nhà cung cấp mặc định.

Gửi mã thông báo Kiểm tra ứng dụng cùng với các yêu cầu phụ trợ

Để đảm bảo các yêu cầu phụ trợ của bạn có mã thông báo Kiểm tra ứng dụng hợp lệ, chưa hết hạn, hãy gọi getToken() trước mỗi yêu cầu. Thư viện Kiểm tra ứng dụng sẽ làm mới mã thông báo nếu cần.

Sau khi bạn có mã thông báo hợp lệ, hãy gửi mã đó cùng với yêu cầu đến phần phụ trợ. Bạn có toàn quyền quyết định cách thực hiện việc này, nhưng đừng gửi mã thông báo Kiểm tra ứng dụng dưới dạng một phần của URL (kể cả trong tham số truy vấn), vì điều này khiến mã dễ bị rò rỉ và chặn do vô tình. Bạn nên gửi mã thông báo trong một tiêu đề HTTP tuỳ chỉnh.

Ví dụ:

void callApiExample() async {
    final appCheckToken = await FirebaseAppCheck.instance.getToken();
    if (appCheckToken != null) {
        final response = await http.get(
            Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
            headers: {"X-Firebase-AppCheck": appCheckToken},
        );
    } else {
        // Error: couldn't get an App Check token.
    }
}