Możesz chronić zasoby aplikacji spoza Firebase, takie jak własne backendy, za pomocą Sprawdzania aplikacji. Aby to zrobić, musisz wykonać obie te czynności:
- Zmodyfikuj klienta aplikacji, aby wysyłał token Sprawdzania aplikacji przy każdym żądaniu do backendu, w sposób opisany na tej stronie.
- Zmodyfikuj backend tak, aby przy każdym żądaniu wymagany był prawidłowy token Sprawdzania aplikacji. jak opisano w sekcji Weryfikowanie tokenów Sprawdzania aplikacji z niestandardowego backendu.
Zanim zaczniesz
Dodaj Sprawdzanie aplikacji do swojej aplikacji za pomocą Dostawca reCAPTCHA Enterprise lub dostawcę niestandardowego.
Wysyłaj tokeny Sprawdzania aplikacji z żądaniami backendu
Przed każdym żądaniem w kliencie aplikacji uzyskaj prawidłowy, niewygasły proces Sprawdzania aplikacji
token z appCheck().getToken(). Biblioteka Sprawdzania aplikacji odświeży
w razie potrzeby token.
Po uzyskaniu prawidłowego tokena wyślij go do backendu wraz z żądaniem. jak to zrobisz, zależy od Ciebie, ale nie wysyłaj Tokeny Sprawdzania aplikacji w ramach adresów URL, m.in. w parametrach zapytania, ponieważ narażają je na przypadkowe wyciek i przechwycenie. Poniżej wysyła token w niestandardowym nagłówku HTTP, co jest zalecane jak ważna jest pokora.
Web
import { initializeAppCheck, getToken } from 'firebase/app-check';
const appCheck = initializeAppCheck(
app,
{ provider: provider } // ReCaptchaV3Provider or CustomProvider
);
const callApiWithAppCheckExample = async () => {
let appCheckTokenResponse;
try {
appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
} catch (err) {
// Handle any errors if the token was not retrieved.
return;
}
// Include the App Check token with requests to your server.
const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
headers: {
'X-Firebase-AppCheck': appCheckTokenResponse.token,
}
});
// Handle response from your backend.
};
Web
const callApiWithAppCheckExample = async () => {
let appCheckTokenResponse;
try {
appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
} catch (err) {
// Handle any errors if the token was not retrieved.
return;
}
// Include the App Check token with requests to your server.
const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
headers: {
'X-Firebase-AppCheck': appCheckTokenResponse.token,
}
});
// Handle response from your backend.
};
Ochrona ponownego odtwarzania (beta)
Podczas wysyłania żądania do punktu końcowego, dla którego włączono
ochrony przed ponownym odtwarzaniem,
pobierz token za pomocą getLimitedUseToken() zamiast getToken():
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);