Puoi utilizzare App Check per proteggere le risorse di backend personalizzate non Google per la tua app, ad esempio il tuo backend self-hosted. A questo scopo, dovrai:
- Modificare il client dell'app in modo che invii un token App Check insieme a ogni richiesta al backend, come descritto in questa pagina.
- Modificare il backend in modo che richieda un token App Check valido per ogni richiesta, come descritto in Verificare i token App Check da un backend personalizzato.
Prima di iniziare
Aggiungi App Check alla tua app utilizzando i provider predefiniti.
Inviare token App Check con le richieste di backend
Per assicurarti che le richieste di backend includano un token App Check valido e non scaduto, anteponi a ogni richiesta una chiamata a getToken(). Se necessario, la libreria App Check aggiornerà il token.
Una volta ottenuto un token valido, invialo insieme alla richiesta al backend. I dettagli su come eseguire questa operazione dipendono da te, ma non inviare i token App Check come parte degli URL, inclusi i parametri di query, in quanto ciò li rende vulnerabili a perdite e intercettazioni accidentali. L'approccio consigliato è inviare il token in un'intestazione HTTP personalizzata.
Ad esempio:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}