在 Apple 平台上使用 App Check 保護自訂後端資源

您可以透過 App Check 保護應用程式的非 Google 自訂後端資源,例如自行管理的後端。如要這麼做,請完成下列兩項操作:

  • 如本頁所述,修改應用程式用戶端,在每次傳送至後端的要求中加入 App Check 權杖。
  • 修改後端,要求每個要求都附上有效的 App Check 權杖,詳情請參閱「從自訂後端驗證 App Check 權杖」。

事前準備

使用 App AttestDeviceCheck自訂供應商,將 App Check 新增至應用程式。

在後端要求中傳送 App Check 權杖

為確保後端要求包含有效且未過期的 App Check 權杖,請在對 AppCheck.token() 的呼叫中包裝每個要求。如有必要,App Check 程式庫會重新整理權杖,您可以在方法的完成區塊中存取權杖。

取得有效權杖後,請將權杖連同要求傳送至後端。具體做法由您決定,但請勿將 App Check 權杖做為網址的一部分傳送 (包括查詢參數),否則權杖可能會意外洩漏或遭到攔截。下列範例會在自訂 HTTP 標頭中傳送權杖,這是建議的做法。

Swift

do {
  let token = try await AppCheck.appCheck().token(forcingRefresh: false)

  // Get the raw App Check token string.
  let tokenString = token.token

  // Include the App Check token with requests to your server.
  let url = URL(string: "https://yourbackend.example.com/yourApiEndpoint")!
  var request = URLRequest(url: url)
  request.httpMethod = "GET"
  request.setValue(tokenString, forHTTPHeaderField: "X-Firebase-AppCheck")

  let task = URLSession.shared.dataTask(with: request) { data, response, error in
      // Handle response from your backend.
  }
  task.resume()
} catch(let error) {
  print("Unable to retrieve App Check token: \(error)")
  return
}

Objective-C

[[FIRAppCheck appCheck] tokenForcingRefresh:NO
                                 completion:^(FIRAppCheckToken * _Nullable token,
                                              NSError * _Nullable error) {
    if (error != nil) {
        // Handle any errors if the token was not retrieved.
        NSLog(@"Unable to retrieve App Check token: %@", error);
        return;
    }
    if (token == nil) {
        NSLog(@"Unable to retrieve App Check token.");
        return;
    }

    // Get the raw App Check token string.
    NSString *tokenString = token.token;

    // Include the App Check token with requests to your server.
    NSURL *url = [[NSURL alloc] initWithString:@"https://yourbackend.example.com/yourApiEndpoint"];
    NSMutableURLRequest *request = [[NSMutableURLRequest alloc] initWithURL:url];
    [request setHTTPMethod:@"GET"];
    [request setValue:tokenString forHTTPHeaderField:@"X-Firebase-AppCheck"];

    NSURLSessionDataTask *task =
        [[NSURLSession sharedSession] dataTaskWithRequest:request
                                        completionHandler:^(NSData * _Nullable data,
                                                            NSURLResponse * _Nullable response,
                                                            NSError * _Nullable error) {
        // Handle response from your backend.
    }];
    [task resume];
}];

重送攻擊防護 (Beta 版)

向已啟用重播保護機制的端點提出要求時,請將要求包裝在 limitedUseToken() 的呼叫中,而非 token()

Swift

AppCheck.appCheck().limitedUseToken() { token, error in
  // ...
}

Objective-C

[[FIRAppCheck appCheck] limitedUseTokenWithCompletion:^(FIRAppCheckToken * _Nullable token,
                                                        NSError * _Nullable error) {
    // ...
}];