ウェブアプリの App Check でカスタム バックエンド リソースを保護する

App Check を使用すると、アプリで使用する Google 以外のカスタム バックエンド リソース(独自のセルフホスト バックエンドなど)を保護できます。そのためには、次の両方を行う必要があります。

  • このページで説明するように、各リクエストとともに App Check トークンをバックエンドに送信するようにアプリ クライアントを変更します。
  • カスタム バックエンドからの App Check トークンの検証で説明したように、リクエストごとに有効な App Check トークンを要求するようにバックエンドを変更します。

始める前に

reCAPTCHA Enterprise プロバイダまたはカスタム プロバイダを使用して、App Check をアプリに追加します。

バックエンド リクエストとともに App Check トークンを送信する

アプリ クライアントで、リクエストの前に、appCheck().getToken() を使用して、有効期限が切れていない有効な App Check トークンを取得します。App Check ライブラリが、必要に応じてトークンを更新します。

有効なトークンを取得したら、リクエストと一緒にバックエンドに送信します。これを行う具体的な方法は自由に決めることができますが、クエリ パラメータを含め URL の一部として App Check トークンを送信しないでください。偶発的な漏洩や傍受に対して脆弱になります。次の例のように、カスタム HTTP ヘッダーでトークンを送信することをおすすめします。

Web

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};
appcheck_nonfirebase.js

Web

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};
index.js

リプレイ保護(ベータ版)

リプレイ保護を有効にしたエンドポイントに対してリクエストを行う場合は、getToken() ではなく getLimitedUseToken() を使用してトークンを取得します。

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);