Защитите ресурсы, не относящиеся к Firebase, с помощью проверки приложений в веб-приложениях.

Вы можете защитить ресурсы вашего приложения, не относящиеся к Firebase, например локальные серверные части, с помощью App Check . Для этого вам необходимо выполнить оба следующих действия:

  • Измените клиент приложения так, чтобы он отправлял токен App Check вместе с каждым запросом на серверную часть, как описано на этой странице.
  • Измените свою серверную часть, чтобы при каждом запросе требовался действительный токен App Check , как описано в разделе Проверка токенов App Check из пользовательской серверной части .

Прежде чем начать

Добавьте App Check в свое приложение, используя поставщика reCAPTCHA Enterprise или специального поставщика .

Отправка токенов App Check с помощью серверных запросов

В клиенте вашего приложения перед каждым запросом получите действительный токен App Check с неистекшим сроком действия с помощью appCheck().getToken() . Библиотека App Check при необходимости обновит токен.

Получив действительный токен, отправьте его вместе с запросом на свой сервер. Особенности того, как вы это сделаете, зависят от вас, но не отправляйте токены App Check как часть URL-адресов , в том числе в параметрах запроса, поскольку это делает их уязвимыми для случайной утечки и перехвата. В следующем примере токен отправляется в настраиваемом заголовке HTTP, что является рекомендуемым подходом.

Web

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

Web

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};

Защита от повтора (бета)

При отправке запроса к конечной точке, для которой вы включили защиту от воспроизведения , получите токен, используя getLimitedUseToken() вместо getToken() :

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);