使用 App Check 保護非 Firebase 資源

您可以利用 App Check 保護應用程式中的非 Firebase 資源,例如自行管理的後端。如要這麼做,您需要執行這兩項操作:

  • 按照本頁所述,修改應用程式用戶端,將 App Check 權杖連同每項要求一併傳送至後端。
  • 修改後端,讓每個要求要求有效的 App Check 權杖,如「從自訂後端驗證 App Check 權杖」一文所述。

事前準備

使用預設供應商,將 App Check 加入應用程式。

透過後端要求傳送 App Check 權杖

為確保後端要求包含有效、未過期的 App Check 權杖,請在每個要求前方呼叫 getToken()。App Check 程式庫會視需要重新整理權杖。

取得有效的權杖後,請將該權杖與要求傳送至後端。您可以自行決定具體的執行方式,但請勿將 App Check 權杖當做網址的一部分傳送 (包括查詢參數),否則容易遭受意外外洩和攔截。建議您使用自訂 HTTP 標頭傳送權杖。

例如:

void callApiExample() async {
    final appCheckToken = await FirebaseAppCheck.instance.getToken();
    if (appCheckToken != null) {
        final response = await http.get(
            Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
            headers: {"X-Firebase-AppCheck": appCheckToken},
        );
    } else {
        // Error: couldn't get an App Check token.
    }
}