Вы можете защитить ресурсы вашего приложения, не относящиеся к Firebase, например, собственные серверные части, с помощью проверки приложений. Для этого вам необходимо выполнить оба следующих действия:
- Измените клиент приложения, чтобы отправлять токен проверки приложения вместе с каждым запросом на серверную часть, как описано на этой странице.
- Измените серверную часть, чтобы при каждом запросе требовался действительный токен проверки приложений, как описано в разделе Проверка токенов проверки приложений из пользовательской серверной части .
Прежде чем вы начнете
Добавьте проверку приложений в свое приложение с помощью поставщика reCAPTCHA Enterprise или пользовательского поставщика .
Отправка токенов App Check с внутренними запросами
В клиенте вашего приложения перед каждым запросом получите действительный токен App Check с неистекшим сроком действия с помощью appCheck().getToken() . При необходимости библиотека проверки приложений обновит токен.
Получив действительный токен, отправьте его вместе с запросом на серверную часть. Специфика того, как вы это сделаете, зависит от вас, но не отправляйте токены проверки приложений как часть URL-адресов , в том числе в параметрах запроса, так как это делает их уязвимыми для случайной утечки и перехвата. В следующем примере маркер отправляется в пользовательском заголовке HTTP, что является рекомендуемым подходом.
Web modular API
import { initializeAppCheck, getToken } from 'firebase/app-check';
const appCheck = initializeAppCheck(
app,
{ provider: provider } // ReCaptchaV3Provider or CustomProvider
);
const callApiWithAppCheckExample = async () => {
let appCheckTokenResponse;
try {
appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
} catch (err) {
// Handle any errors if the token was not retrieved.
return;
}
// Include the App Check token with requests to your server.
const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
headers: {
'X-Firebase-AppCheck': appCheckTokenResponse.token,
}
});
// Handle response from your backend.
};Web namespaced API
const callApiWithAppCheckExample = async () => {
let appCheckTokenResponse;
try {
appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
} catch (err) {
// Handle any errors if the token was not retrieved.
return;
}
// Include the App Check token with requests to your server.
const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
headers: {
'X-Firebase-AppCheck': appCheckTokenResponse.token,
}
});
// Handle response from your backend.
};Защита от повторного воспроизведения (бета)
При отправке запроса к конечной точке, для которой вы включили защиту от воспроизведения , получите токен, используя getLimitedUseToken() вместо getToken() :
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);