Mit App Check können Sie benutzerdefinierte Back-End-Ressourcen für Ihre App schützen, die nicht von Google stammen, z. B. Ihr eigenes selbst gehostetes Back-End. Dazu müssen Sie beide der folgenden Schritte ausführen:
- Ändern Sie Ihren App-Client so, dass er mit jeder Anfrage an Ihr Back-End ein App Check Token sendet, wie auf dieser Seite beschrieben.
- Ändern Sie Ihr Back-End so, dass für jede Anfrage ein gültiges App Check Token erforderlich ist, wie unter App Check Tokens von einem benutzerdefinierten Back-End überprüfen beschrieben.
Hinweis
Fügen Sie App Check Ihrer App hinzu. Verwenden Sie dazu entweder den Standard Play Integrity-Anbieter oder einen benutzerdefinierten Anbieter.
App Check Tokens mit Back-End-Anfragen senden
Damit Ihre Backend-Anfragen ein gültiges, nicht abgelaufenes App Check Token enthalten, umschließen Sie jede Anfrage mit einem Aufruf von getAppCheckToken(). Die App Check Bibliothek
aktualisiert das Token bei Bedarf. Sie können im
Erfolgslistener der Methode darauf zugreifen.
Sobald Sie ein gültiges Token haben, senden Sie es zusammen mit der Anfrage an Ihr Back-End. Wie Sie das tun, bleibt Ihnen überlassen. Senden Sie App Check Tokens jedoch nicht als Teil von URLs, auch nicht in Abfrageparametern, da sie dadurch anfällig für unbeabsichtigte Weitergabe und Abfangen werden. Es wird empfohlen, das Token in einem benutzerdefinierten HTTP-Header zu senden.
Wenn Sie beispielsweise Retrofit verwenden, gehen Sie so vor:
Kotlin
class ApiWithAppCheckExample { interface YourExampleBackendService { @GET("yourExampleEndpoint") fun exampleData( @Header("X-Firebase-AppCheck") appCheckToken: String, ): Call<List<String>> } var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService::class.java) fun callApiExample() { Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken -> val token = appCheckToken.token val apiCall = yourExampleBackendService.exampleData(token) // ... } } }
Java
public class ApiWithAppCheckExample { private interface YourExampleBackendService { @GET("yourExampleEndpoint") Call<List<String>> exampleData( @Header("X-Firebase-AppCheck") String appCheckToken); } YourExampleBackendService yourExampleBackendService = new Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService.class); public void callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(@NonNull AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); Call<List<String>> apiCall = yourExampleBackendService.exampleData(token); // ... } }); } }
Schutz vor Wiederholungsangriffen (Beta)
Wenn Sie eine Anfrage an einen Endpunkt senden, für den Sie den
Schutz vor Wiederholungsangriffen aktiviert haben,
umschließen Sie die Anfrage mit einem Aufruf von getLimitedUseAppCheckToken() anstelle von
getAppCheckToken():
Kotlin
Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener { // ... }
Java
FirebaseAppCheck.getInstance() .getLimitedUseAppCheckToken().addOnSuccessListener( new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); // ... } } );