הגן על משאבים שאינם Firebase עם App Check

אתה יכול להגן על המשאבים של האפליקציה שלך שאינם Firebase, כגון קצה עורפי שמתארח בעצמך, באמצעות App Check. כדי לעשות זאת, תצטרך לבצע את שתי הפעולות הבאות:

• שנה את לקוח האפליקציה שלך כדי לשלוח אסימון App Check יחד עם כל בקשה ל-backend שלך, כמתואר בדף זה.
• שנה את הקצה העורפי שלך כדי לדרוש אסימון בדיקת אפליקציה חוקי בכל בקשה, כמתואר באימות אסימוני בדיקת אפליקציות מקצה אחורי מותאם אישית .

לפני שאתה מתחיל

הוסף App Check לאפליקציה שלך, באמצעות ספקי ברירת המחדל .

שלח אסימוני בדיקת אפליקציה עם בקשות קצה אחורי

כדי להבטיח שבקשות הקצה האחורי שלך כוללות אסימון App Check חוקי שלא פג תוקפו, הקדימו לכל בקשה קריאה אל getToken() . ספריית App Check תרענן את האסימון במידת הצורך.

ברגע שיש לך אסימון תקף, שלח אותו יחד עם הבקשה ל-backend שלך. הספציפיות של האופן שבו אתה משיג זאת תלוי בך, אך אל תשלח אסימוני App Check כחלק מכתובות האתרים , כולל בפרמטרים של שאילתה, מכיוון שהדבר הופך אותם לפגיעים לדליפה ויירוט בשוגג. הגישה המומלצת היא לשלוח את האסימון בכותרת HTTP מותאמת אישית.

לדוגמה:

void callApiExample() async {
    final appCheckToken = await FirebaseAppCheck.instance.getToken();
    if (appCheckToken != null) {
        final response = await http.get(
            Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
            headers: {"X-Firebase-AppCheck": appCheckToken},
        );
    } else {
        // Error: couldn't get an App Check token.
    }
}