दिए गए App Check टोकन की पुष्टि करता है. साथ ही, टोकन के इस्तेमाल के ऐसे सिग्नल दिखाता है जिन पर कॉलर कार्रवाई कर सकते हैं. फ़िलहाल, यह तरीका सिर्फ़ ऐप्लिकेशन की जांच करने वाले टोकन के साथ काम करता है, जिन्हें प्रमाणित करने की सेवा देने वाली इन कंपनियों से एक्सचेंज किया जाता है:
- Play Integrity API
- ऐप्लिकेशन प्रमाणित करने के लिए
-
DeviceCheck (
DCDevice
टोकन) - reCAPTCHA Enterprise
- reCAPTCHA वर्शन 3
- पसंद के मुताबिक सेवा देने वाली कंपनियां
डीबग सीक्रेट से एक्सचेंज किए गए ऐप्लिकेशन चेक टोकन भी काम करते हैं. इस तरीके को किसी मान्य ऐप्लिकेशन चेक टोकन पर, सेवा देने वाली किसी ऐसी कंपनी के साथ कॉल करने पर एचटीटीपी 400 की गड़बड़ी दिखेगी जो काम नहीं करती.
यह दिखाता है कि क्या इस कॉल से पहले इस टोकन का इस्तेमाल किया गया था. अगर इस तरीके से पहली बार ऐप्लिकेशन की जांच वाला टोकन देखा जा रहा है, तो जवाब में
फ़ील्ड मौजूद नहीं होगा. इसके बाद, दिए गए टोकन को
alreadyConsumed
alreadyConsumed
(
true
पर सेट करें) के तौर पर मार्क किया जाएगा. ऐसा, आने वाले समय में उस टोकन के लिए इस्तेमाल किए जाने वाले सभी तरीकों के लिए होगा.
ध्यान दें कि अगर दिया गया ऐप्लिकेशन चेक टोकन अमान्य है, तो रिस्पॉन्स ऑब्जेक्ट की जगह एचटीटीपी 403 गड़बड़ी दिखती है. इस बात से कोई फ़र्क़ नहीं पड़ता कि टोकन पहले ही इस्तेमाल किया जा चुका है या नहीं.
फ़िलहाल, यह आकलन करते समय कि ऐप्लिकेशन चेक टोकन का इस्तेमाल पहले ही हो चुका है या नहीं, सिर्फ़ इसी तरीके से किए गए कॉल को गिना जाता है. अगर App Check टोकन का इस्तेमाल किया जाता है, तो इसका मतलब यह नहीं है कि टोकन का इस्तेमाल पहले ही हो चुका है.
इस तरीके को कॉल करने के लिए, कॉलर के पास
firebaseappcheck.appCheckTokens.verify
की अनुमति होनी चाहिए. यह अनुमति
Firebase ऐप्लिकेशन चेक टोकन की पुष्टि करने वाले की भूमिका
का हिस्सा है.
एचटीटीपी अनुरोध
POST https://firebaseappcheck.googleapis.com/v1beta/{project=projects/*}:verifyAppCheckToken
यह यूआरएल gRPC ट्रांसकोडिंग सिंटैक्स का इस्तेमाल करता है.
पाथ के पैरामीटर
पैरामीटर | |
---|---|
project
|
ज़रूरी है. उस प्रोजेक्ट के रिसॉर्स का नाम जिसके लिए टोकन बनाया गया था. यह इस फ़ॉर्मैट में होना चाहिए:
ज़रूरत पड़ने पर, |
अनुरोध का मुख्य भाग
अनुरोध के मुख्य हिस्से में, इस तरह का डेटा शामिल होता है:
जेएसओएन के काेड में दिखाना |
---|
{ "appCheckToken": string } |
फ़ील्ड | |
---|---|
appCheckToken
|
ज़रूरी है. पुष्टि करने के लिए, App Check टोकन. SafetyNet की सेवा देने वाली कंपनी से मिलने वाले ऐप्लिकेशन की जांच के टोकन काम नहीं करते हैं. एचटीटीपी 400 की गड़बड़ी वाला मैसेज दिखेगा. |
जवाब का मुख्य भाग
projects.verifyAppCheckToken
तरीके के लिए रिस्पॉन्स मैसेज.
अगर एपीआई सही से जुड़ जाता है, ताे जवाब के मुख्य भाग में नीचे दिए गए स्ट्रक्चर शामिल होता है.
जेएसओएन के काेड में दिखाना |
---|
{ "alreadyConsumed": boolean } |
फ़ील्ड | |
---|---|
alreadyConsumed
|
इस टोकन का इस्तेमाल पहले ही किया जा चुका है या नहीं.
अगर ऐप्लिकेशन की जांच का टोकन पहली बार इस तरीके से देखा जा रहा है, तो इस फ़ील्ड को जवाब में शामिल नहीं किया जाएगा. इसके बाद, दिए गए टोकन को
ध्यान दें कि अगर दिया गया ऐप्लिकेशन चेक टोकन अमान्य है, तो यह फ़ील्ड शामिल करने वाले रिस्पॉन्स के बजाय, एचटीटीपी 403 गड़बड़ी दिखती है. भले ही, टोकन पहले से इस्तेमाल हो चुका हो या नहीं. |
अनुमति के दायरे
इनमें से किसी एक OAuth दायरों की ज़रूरत होती है:
-
https://www.googleapis.com/auth/cloud-platform
-
https://www.googleapis.com/auth/firebase
ज़्यादा जानकारी के लिए, पुष्टि करने से जुड़ी खास जानकारी देखें.