הגנה על משאבים שלא שייכים ל-Firebase באמצעות App Check בפלטפורמות של Apple

אפשר להגן על משאבי האפליקציה שאינם של Firebase, כמו קצוות עורפיים שמתארחים באופן עצמאי, באמצעות App Check. כדי לעשות זאת, צריך לבצע את שתי הפעולות הבאות:

• משנים את לקוח האפליקציה כך שישלח אסימון App Check יחד עם כל בקשה לקצה העורפי, כפי שמתואר בדף הזה.
• משנים את הקצה העורפי כך שיידרש אסימון App Check תקף בכל בקשה, כפי שמתואר במאמר אימות אסימוני App Check מקצה עורפי מותאם אישית.

לפני שמתחילים

מוסיפים את App Check לאפליקציה באמצעות App Attest,‏ DeviceCheck או ספק מותאם אישית.

שליחת אסימוני App Check עם בקשות לקצה העורפי

כדי לוודא שהבקשות לקצה העורפי כוללות טוקן App Check תקף שעדיין בתוקף, צריך לעטוף כל בקשה בקריאה ל-AppCheck.token(). הספרייה App Check תעדכן את האסימון לפי הצורך, ותוכלו לגשת לאסימון בבלוק השלמת השיטה.

אחרי שתקבלו אסימון תקף, עליכם לשלוח אותו יחד עם הבקשה לקצה העורפי. אתם יכולים להחליט איך לעשות את זה, אבל אל תשלחו אסימוני App Check כחלק מכתובות URL, כולל בפרמטר של שאילתה, כי הם חשופים לדליפה ולתפיסת נתונים בטעות. בדוגמה הבאה האסימון נשלח בכותרת HTTP בהתאמה אישית, וזו הגישה המומלצת.

do {
  let token = try await AppCheck.appCheck().token(forcingRefresh: false)

  // Get the raw App Check token string.
  let tokenString = token.token

  // Include the App Check token with requests to your server.
  let url = URL(string: "https://yourbackend.example.com/yourApiEndpoint")!
  var request = URLRequest(url: url)
  request.httpMethod = "GET"
  request.setValue(tokenString, forHTTPHeaderField: "X-Firebase-AppCheck")

  let task = URLSession.shared.dataTask(with: request) { data, response, error in
      // Handle response from your backend.
  }
  task.resume()
} catch(let error) {
  print("Unable to retrieve App Check token: \(error)")
  return
}

[[FIRAppCheck appCheck] tokenForcingRefresh:NO
                                 completion:^(FIRAppCheckToken * _Nullable token,
                                              NSError * _Nullable error) {
    if (error != nil) {
        // Handle any errors if the token was not retrieved.
        NSLog(@"Unable to retrieve App Check token: %@", error);
        return;
    }
    if (token == nil) {
        NSLog(@"Unable to retrieve App Check token.");
        return;
    }

    // Get the raw App Check token string.
    NSString *tokenString = token.token;

    // Include the App Check token with requests to your server.
    NSURL *url = [[NSURL alloc] initWithString:@"https://yourbackend.example.com/yourApiEndpoint"];
    NSMutableURLRequest *request = [[NSMutableURLRequest alloc] initWithURL:url];
    [request setHTTPMethod:@"GET"];
    [request setValue:tokenString forHTTPHeaderField:@"X-Firebase-AppCheck"];

    NSURLSessionDataTask *task =
        [[NSURLSession sharedSession] dataTaskWithRequest:request
                                        completionHandler:^(NSData * _Nullable data,
                                                            NSURLResponse * _Nullable response,
                                                            NSError * _Nullable error) {
        // Handle response from your backend.
    }];
    [task resume];
}];

הגנה מפני הפעלה חוזרת (בטא)

כששולחים בקשה לנקודת קצה (endpoint) שהפעלתם בה הגנה מפני הפעלה חוזרת, צריך לעטוף את הבקשה בקריאה ל-limitedUseToken() במקום ל-token():

AppCheck.appCheck().limitedUseToken() { token, error in
  // ...
}

[[FIRAppCheck appCheck] limitedUseTokenWithCompletion:^(FIRAppCheckToken * _Nullable token,
                                                        NSError * _Nullable error) {
    // ...
}];