Mit App Check können Sie benutzerdefinierte Back-End-Ressourcen für Ihre App schützen, die nicht von Google stammen, z. B. Ihr eigenes selbst gehostetes Back-End. Dazu müssen Sie beide folgenden Schritte ausführen:
- Ändern Sie Ihren App-Client so, dass er mit jeder Anfrage an Ihr Back-End ein App Check-Token sendet, wie auf dieser Seite beschrieben.
- Ändern Sie Ihr Back-End so, dass für jede Anfrage ein gültiges App Check-Token erforderlich ist, wie unter App Check-Tokens von einem benutzerdefinierten Back-End überprüfen beschrieben.
Hinweis
Fügen Sie Ihrer App App Check mit den Standardanbietern hinzu.
App Check-Tokens mit Back-End-Anfragen senden
Damit Ihre Back-End-Anfragen ein gültiges, nicht abgelaufenes App Check-Token enthalten, stellen Sie jeder Anfrage einen Aufruf von getToken() voran. Die App Check-Bibliothek aktualisiert das Token bei Bedarf.
Sobald Sie ein gültiges Token haben, senden Sie es zusammen mit der Anfrage an Ihr Back-End. Wie Sie das tun, bleibt Ihnen überlassen. Senden Sie App Check-Tokens jedoch nicht als Teil von URLs, auch nicht in Abfrageparametern, da sie dadurch anfällig für versehentliches Auslaufen und Abfangen werden. Es wird empfohlen, das Token in einem benutzerdefinierten HTTP-Header zu senden.
Beispiel:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}