Method: projects.verifyAppCheckToken

Verifiziert das angegebene App Check-Token und gibt Token-Nutzungssignale zurück, auf die Aufrufer reagieren können. Diese Methode unterstützt derzeit nur App Check-Tokens, die von den folgenden Attestierungsanbietern ausgetauscht werden:

  • Play Integrity API
  • App-Attest
  • DeviceCheck ( DCDevice Tokens)
  • reCAPTCHA Enterprise
  • reCAPTCHA v3
  • Benutzerdefinierte Anbieter

Auch App Check-Tokens, die aus Debug-Secrets ausgetauscht werden, werden unterstützt. Wenn Sie diese Methode für ein ansonsten gültiges App Check-Token mit einem nicht unterstützten Anbieter aufrufen, wird ein HTTP 400-Fehler zurückgegeben.

Gibt zurück, ob das Token bereits vor diesem Aufruf verbraucht wurde. Wenn diese Methode das angegebene App Check-Token zum ersten Mal erkennt, fehlt das Feld alreadyConsumed in der Antwort. Das angegebene Token wird dann für alle zukünftigen Aufrufe dieser Methode für dieses Token als alreadyConsumed (auf true gesetzt) markiert.

Wenn das angegebene App Check-Token ungültig ist, wird anstelle eines Antwortobjekts der HTTP-Fehler 403 zurückgegeben, unabhängig davon, ob das Token bereits verbraucht wurde.

Wenn geprüft wird, ob ein App Check-Token bereits verbraucht wurde, werden derzeit nur Aufrufe dieser Methode gezählt. Bei Verwendung des App Check-Tokens an anderer Stelle wird das Token nicht als bereits verbraucht gekennzeichnet.

Der Aufrufer muss die Berechtigung firebaseappcheck.appCheckTokens.verify haben, um diese Methode aufzurufen. Diese Berechtigung ist Teil der Rolle „App Check Token Verifier“ von Firebase .

HTTP-Anfrage

POST https://firebaseappcheck.googleapis.com/v1beta/{project=projects/*}:verifyAppCheckToken

Die URL verwendet die Syntax der gRPC-Transcodierung .

Pfadparameter

Parameter
project

string

Erforderlich. Der relative Ressourcenname des Projekts, für das das Token erstellt wurde, im Format: 

projects/{project_number}

Bei Bedarf kann das Element project_number durch die Projekt-ID des Firebase-Projekts ersetzt werden. Weitere Informationen zur Verwendung von Projekt-IDs im Google-Standard AIP 2510 .

Anfragetext

Der Anfragetext enthält Daten mit folgender Struktur:

JSON-Darstellung 
{
  "appCheckToken": string
}
Felder
appCheckToken

string

Erforderlich. Das zu verifizierende App Check-Token.

Vom SafetyNet-Anbieter ausgetauschte App Check-Tokens werden nicht unterstützt. Es wird ein HTTP 400-Fehler zurückgegeben.

Antworttext

Antwortnachricht für die Methode projects.verifyAppCheckToken .

Bei Erfolg enthält der Antworttext Daten mit der folgenden Struktur:

JSON-Darstellung 
{
  "alreadyConsumed": boolean
}
Felder
alreadyConsumed

boolean

Gibt an, ob dieses Token bereits verbraucht wurde.

Wenn diese Methode das angegebene App Check-Token zum ersten Mal erkennt, wird dieses Feld in der Antwort weggelassen. Das angegebene Token wird dann für alle zukünftigen Aufrufe dieser Methode für dieses Token als alreadyConsumed (auf true gesetzt) markiert.

Wenn das angegebene App Check-Token ungültig ist, wird anstelle einer Antwort, die dieses Feld enthält, der HTTP-Fehler 403 zurückgegeben, unabhängig davon, ob das Token bereits verbraucht wurde.

Autorisierungsbereiche

Erfordert einen der folgenden OAuth-Bereiche:

  • https://www.googleapis.com/auth/cloud-platform
  • https://www.googleapis.com/auth/firebase

Weitere Informationen finden Sie in der Authentifizierungsübersicht .