Zasoby aplikacji spoza Firebase, takie jak własne backendy, możesz chronić za pomocą Sprawdzania aplikacji. Aby to zrobić, musisz wykonać obie te czynności:
- Zmodyfikuj klienta aplikacji, aby wraz z każdym żądaniem wysyłał do backendu token Sprawdzania aplikacji, zgodnie z opisem na tej stronie.
- Zmodyfikuj swój backend tak, aby wymagał prawidłowego tokena Sprawdzania aplikacji przy każdym żądaniu, zgodnie z opisem w sekcji Weryfikowanie tokenów Sprawdzania aplikacji z niestandardowego backendu.
Zanim zaczniesz
Dodaj Sprawdzanie aplikacji do swojej aplikacji, korzystając z dostawców domyślnych.
Wysyłaj tokeny Sprawdzania aplikacji z żądaniami backendu
Aby mieć pewność, że żądania backendu zawierają prawidłowy, niewygasły token Sprawdzania aplikacji, poprzedź każde żądanie wywołaniem getToken(). W razie potrzeby biblioteka Sprawdzania aplikacji odświeży token.
Po uzyskaniu prawidłowego tokena wyślij go do backendu wraz z żądaniem. Szczegóły dotyczące tego, jak to zrobić, zależą od Ciebie. Nie wysyłaj tokenów Sprawdzania aplikacji w ramach adresów URL, w tym w parametrach zapytań, ponieważ naraża to je na przypadkowe wyciek i przechwycenie. Zalecamy wysłanie tokena w niestandardowym nagłówku HTTP.
Przykład:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}