Method: projects.verifyAppCheckToken

दिए गए App Check टोकन की पुष्टि करता है. साथ ही, टोकन के इस्तेमाल के ऐसे सिग्नल दिखाता है जिन पर कॉलर कार्रवाई कर सकते हैं. फ़िलहाल, यह तरीका सिर्फ़ ऐप्लिकेशन की जांच करने वाले टोकन के साथ काम करता है, जिन्हें प्रमाणित करने की सेवा देने वाली इन कंपनियों से एक्सचेंज किया जाता है:

  • Play Integrity API
  • ऐप्लिकेशन प्रमाणित करने के लिए
  • DeviceCheck ( DCDevice टोकन)
  • reCAPTCHA Enterprise
  • reCAPTCHA वर्शन 3
  • पसंद के मुताबिक सेवा देने वाली कंपनियां

डीबग सीक्रेट से एक्सचेंज किए गए ऐप्लिकेशन चेक टोकन भी काम करते हैं. इस तरीके को किसी मान्य ऐप्लिकेशन चेक टोकन पर, सेवा देने वाली किसी ऐसी कंपनी के साथ कॉल करने पर एचटीटीपी 400 की गड़बड़ी दिखेगी जो काम नहीं करती.

यह दिखाता है कि क्या इस कॉल से पहले इस टोकन का इस्तेमाल किया गया था. अगर इस तरीके से पहली बार ऐप्लिकेशन की जांच वाला टोकन देखा जा रहा है, तो जवाब में alreadyConsumed फ़ील्ड मौजूद नहीं होगा. इसके बाद, दिए गए टोकन को alreadyConsumed ( true पर सेट करें) के तौर पर मार्क किया जाएगा. ऐसा, आने वाले समय में उस टोकन के लिए इस्तेमाल किए जाने वाले सभी तरीकों के लिए होगा.

ध्यान दें कि अगर दिया गया ऐप्लिकेशन चेक टोकन अमान्य है, तो रिस्पॉन्स ऑब्जेक्ट की जगह एचटीटीपी 403 गड़बड़ी दिखती है. इस बात से कोई फ़र्क़ नहीं पड़ता कि टोकन पहले ही इस्तेमाल किया जा चुका है या नहीं.

फ़िलहाल, यह आकलन करते समय कि ऐप्लिकेशन चेक टोकन का इस्तेमाल पहले ही हो चुका है या नहीं, सिर्फ़ इसी तरीके से किए गए कॉल को गिना जाता है. अगर App Check टोकन का इस्तेमाल किया जाता है, तो इसका मतलब यह नहीं है कि टोकन का इस्तेमाल पहले ही हो चुका है.

इस तरीके को कॉल करने के लिए, कॉलर के पास firebaseappcheck.appCheckTokens.verify की अनुमति होनी चाहिए. यह अनुमति Firebase ऐप्लिकेशन चेक टोकन की पुष्टि करने वाले की भूमिका का हिस्सा है.

एचटीटीपी अनुरोध

POST https://firebaseappcheck.googleapis.com/v1beta/{project=projects/*}:verifyAppCheckToken

यह यूआरएल gRPC ट्रांसकोडिंग सिंटैक्स का इस्तेमाल करता है.

पाथ के पैरामीटर

पैरामीटर
project

string

ज़रूरी है. उस प्रोजेक्ट के रिसॉर्स का नाम जिसके लिए टोकन बनाया गया था. यह इस फ़ॉर्मैट में होना चाहिए: 

projects/{project_number}

ज़रूरत पड़ने पर, project_number एलिमेंट को Firebase प्रोजेक्ट के प्रोजेक्ट आईडी से बदला जा सकता है. Google के AIP 2510 स्टैंडर्ड में, प्रोजेक्ट आइडेंटिफ़ायर का इस्तेमाल करने के बारे में ज़्यादा जानें.

अनुरोध का मुख्य भाग

अनुरोध के मुख्य हिस्से में, इस तरह का डेटा शामिल होता है:

जेएसओएन के काेड में दिखाना 
{
  "appCheckToken": string
}
फ़ील्ड
appCheckToken

string

ज़रूरी है. पुष्टि करने के लिए, App Check टोकन.

SafetyNet की सेवा देने वाली कंपनी से मिलने वाले ऐप्लिकेशन की जांच के टोकन काम नहीं करते हैं. एचटीटीपी 400 की गड़बड़ी वाला मैसेज दिखेगा.

जवाब का मुख्य भाग

projects.verifyAppCheckToken तरीके के लिए रिस्पॉन्स मैसेज.

अगर एपीआई सही से जुड़ जाता है, ताे जवाब के मुख्य भाग में नीचे दिए गए स्ट्रक्चर शामिल होता है.

जेएसओएन के काेड में दिखाना 
{
  "alreadyConsumed": boolean
}
फ़ील्ड
alreadyConsumed

boolean

इस टोकन का इस्तेमाल पहले ही किया जा चुका है या नहीं.

अगर ऐप्लिकेशन की जांच का टोकन पहली बार इस तरीके से देखा जा रहा है, तो इस फ़ील्ड को जवाब में शामिल नहीं किया जाएगा. इसके बाद, दिए गए टोकन को alreadyConsumed ( true पर सेट करें) के तौर पर मार्क किया जाएगा. ऐसा, आने वाले समय में उस टोकन के लिए इस्तेमाल किए जाने वाले सभी तरीकों के लिए होगा.

ध्यान दें कि अगर दिया गया ऐप्लिकेशन चेक टोकन अमान्य है, तो यह फ़ील्ड शामिल करने वाले रिस्पॉन्स के बजाय, एचटीटीपी 403 गड़बड़ी दिखती है. भले ही, टोकन पहले से इस्तेमाल हो चुका हो या नहीं.

अनुमति के दायरे

इनमें से किसी एक OAuth दायरों की ज़रूरत होती है:

  • https://www.googleapis.com/auth/cloud-platform
  • https://www.googleapis.com/auth/firebase

ज़्यादा जानकारी के लिए, पुष्टि करने से जुड़ी खास जानकारी देखें.