הגנה על משאבים שלא שייכים ל-Firebase באמצעות App Check בפלטפורמות של Apple

אפשר להגן על משאבי האפליקציה שאינם ב-Firebase, כמו קצוות עורפיים שמתארחים באופן עצמאי, באמצעות App Check. כדי לעשות זאת, צריך לבצע את שתי הפעולות הבאות:

לפני שמתחילים

מוסיפים את App Check לאפליקציה באמצעות App Attest, DeviceCheck או ספק מותאם אישית.

שליחת App Check אסימונים עם בקשות לקצה העורפי

כדי לוודא שהבקשות לקצה העורפי כוללות טוקן App Check תקף שעדיין בתוקף, צריך לעטוף כל בקשה בקריאה ל-AppCheck.token(). הספרייה App Check תעדכן את האסימון לפי הצורך, ותוכלו לגשת לאסימון בבלוק השלמת השיטה.

אחרי שתקבלו אסימון תקף, עליכם לשלוח אותו יחד עם הבקשה לקצה העורפי. אתם יכולים להחליט איך לעשות זאת, אבל אל תשלחו אסימוני App Check כחלק מכתובות URL, כולל בפרמטר של שאילתה, כי הם חשופים לדליפה ולתפיסת נתונים בטעות. בדוגמה הבאה האסימון נשלח בכותרת HTTP בהתאמה אישית, וזו הגישה המומלצת.

Swift

do {
  let token = try await AppCheck.appCheck().token(forcingRefresh: false)

  // Get the raw App Check token string.
  let tokenString = token.token

  // Include the App Check token with requests to your server.
  let url = URL(string: "https://yourbackend.example.com/yourApiEndpoint")!
  var request = URLRequest(url: url)
  request.httpMethod = "GET"
  request.setValue(tokenString, forHTTPHeaderField: "X-Firebase-AppCheck")

  let task = URLSession.shared.dataTask(with: request) { data, response, error in
      // Handle response from your backend.
  }
  task.resume()
} catch(let error) {
  print("Unable to retrieve App Check token: \(error)")
  return
}

Objective-C

[[FIRAppCheck appCheck] tokenForcingRefresh:NO
                                 completion:^(FIRAppCheckToken * _Nullable token,
                                              NSError * _Nullable error) {
    if (error != nil) {
        // Handle any errors if the token was not retrieved.
        NSLog(@"Unable to retrieve App Check token: %@", error);
        return;
    }
    if (token == nil) {
        NSLog(@"Unable to retrieve App Check token.");
        return;
    }

    // Get the raw App Check token string.
    NSString *tokenString = token.token;

    // Include the App Check token with requests to your server.
    NSURL *url = [[NSURL alloc] initWithString:@"https://yourbackend.example.com/yourApiEndpoint"];
    NSMutableURLRequest *request = [[NSMutableURLRequest alloc] initWithURL:url];
    [request setHTTPMethod:@"GET"];
    [request setValue:tokenString forHTTPHeaderField:@"X-Firebase-AppCheck"];

    NSURLSessionDataTask *task =
        [[NSURLSession sharedSession] dataTaskWithRequest:request
                                        completionHandler:^(NSData * _Nullable data,
                                                            NSURLResponse * _Nullable response,
                                                            NSError * _Nullable error) {
        // Handle response from your backend.
    }];
    [task resume];
}];

הגנה מהפעלה מחדש (בטא)

כששולחים בקשה לנקודת קצה (endpoint) שהפעלתם בה הגנה מפני הפעלה חוזרת, צריך לעטוף את הבקשה בקריאה ל-limitedUseToken() במקום ל-token():

Swift

AppCheck.appCheck().limitedUseToken() { token, error in
  // ...
}

Objective-C

[[FIRAppCheck appCheck] limitedUseTokenWithCompletion:^(FIRAppCheckToken * _Nullable token,
                                                        NSError * _Nullable error) {
    // ...
}];