Zasoby aplikacji inne niż Firebase, takie jak hostowane lokalnie backendy, możesz chronić za pomocą App Check. Aby to zrobić, musisz wykonać te 2 czynności:
- Zmodyfikuj klienta aplikacji, aby wysyłał token App Check wraz z każdą prośbą do backendu, zgodnie z opisem na tej stronie.
- Zmodyfikuj backend, aby wymagać prawidłowego tokena App Check przy każdym żądaniu, zgodnie z opisem w artykule Weryfikowanie tokenów App Check z niestandardowego backendu.
Zanim zaczniesz
Dodaj App Check do aplikacji, korzystając z usług dostawcy reCAPTCHA Enterprise lub niestandardowego dostawcy.
Wysyłanie tokenów App Check z żądaniami backendu
Przed każdym żądaniem w kliencie aplikacji uzyskaj prawidłowy, niewygasły token App Check z appCheck().getToken(). W razie potrzeby biblioteka App Check odświeży token.
Gdy masz prawidłowy token, prześlij go wraz z żądaniem do backendu. Szczegóły tego procesu zależą od Ciebie, ale nie wysyłaj tokenów App Check w adresach URL, w tym w parametrach zapytań, ponieważ spowoduje to ich narażenie na przypadkowe wycieki i przechwytywanie. W tym przykładzie token jest wysyłany w niestandardowym nagłówku HTTP, co jest zalecaną metodą.
Web
import { initializeAppCheck, getToken } from 'firebase/app-check'; const appCheck = initializeAppCheck( app, { provider: provider } // ReCaptchaV3Provider or CustomProvider ); const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Web
const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Ochrona ponownego odtwarzania (beta)
Gdy wysyłasz żądanie do punktu końcowego, dla którego masz włączoną ochronę przed ponownym odtwarzaniem, uzyskaj token za pomocą getLimitedUseToken() zamiast getToken():
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);