Proteggere le risorse di backend personalizzate con App Check nei progetti Flutter

Puoi utilizzare App Check per proteggere le risorse di backend personalizzate non Google per la tua app, come il tuo backend self-hosted. A questo scopo, dovrai fare entrambe le seguenti operazioni:

• Modifica il client dell'app per inviare un token App Check insieme a ogni richiesta al tuo backend, come descritto in questa pagina.
• Modifica il backend in modo che richieda un token App Check valido per ogni richiesta, come descritto in Verificare i token App Check da un backend personalizzato.

Prima di iniziare

Aggiungi App Check alla tua app utilizzando i provider predefiniti.

Inviare token App Check con le richieste di backend

Per assicurarti che le richieste di backend includano un token App Check valido e non scaduto, precedi ogni richiesta con una chiamata a getToken(). La libreria App Check aggiornerà il token, se necessario.

Una volta ottenuto un token valido, invialo insieme alla richiesta al tuo backend. I dettagli su come eseguire questa operazione dipendono da te, ma non inviare token App Check come parte degli URL, inclusi i parametri di query, in quanto li rende vulnerabili a divulgazione e intercettazione accidentali. L'approccio consigliato è inviare il token in un'intestazione HTTP personalizzata.

Ad esempio:

void callApiExample() async {
    final appCheckToken = await FirebaseAppCheck.instance.getToken();
    if (appCheckToken != null) {
        final response = await http.get(
            Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
            headers: {"X-Firebase-AppCheck": appCheckToken},
        );
    } else {
        // Error: couldn't get an App Check token.
    }
}