Za pomocą Sprawdzania aplikacji możesz chronić zasoby swojej aplikacji inne niż Firebase, takie jak własne backendy. Aby to zrobić, musisz wykonać obie poniższe czynności:
- Zmodyfikuj klienta aplikacji, aby wysyłał token sprawdzania aplikacji wraz z każdym żądaniem do backendu, zgodnie z opisem na tej stronie.
- Zmodyfikuj swój backend tak, aby przy każdym żądaniu wymagał prawidłowego tokenu sprawdzania aplikacji, zgodnie z opisem w sekcji Weryfikowanie tokenów sprawdzania aplikacji z niestandardowego backendu .
Zanim zaczniesz
Dodaj Sprawdzanie aplikacji do swojej aplikacji, korzystając z dostawcy reCAPTCHA Enterprise lub dostawcy niestandardowego .
Wysyłaj tokeny sprawdzania aplikacji z żądaniami zaplecza
W kliencie aplikacji przed każdym żądaniem uzyskaj ważny, nieważny token sprawdzania aplikacji za pomocą appCheck().getToken()
. W razie potrzeby biblioteka App Check odświeży token.
Gdy już będziesz mieć prawidłowy token, wyślij go wraz z żądaniem do swojego backendu. Szczegóły, jak to osiągnąć, zależą od Ciebie, ale nie wysyłaj tokenów Sprawdzania aplikacji jako części adresów URL , w tym w parametrach zapytania, ponieważ naraża to je na przypadkowy wyciek i przechwycenie. Poniższy przykład wysyła token w niestandardowym nagłówku HTTP, co jest zalecanym podejściem.
Web modular API
import { initializeAppCheck, getToken } from 'firebase/app-check'; const appCheck = initializeAppCheck( app, { provider: provider } // ReCaptchaV3Provider or CustomProvider ); const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Web namespaced API
const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Ochrona przed powtórkami (beta)
Wysyłając żądanie do punktu końcowego, dla którego włączono ochronę przed powtarzaniem , zdobądź token za pomocą getLimitedUseToken()
zamiast getToken()
:
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);