Benutzerdefinierte Back-End-Ressourcen mit App Check auf Apple-Plattformen schützen

Mit App Check können Sie benutzerdefinierte Back-End-Ressourcen schützen, die nicht von Google stammen, z. B. Ihr eigenes selbst gehostetes Back-End für Ihre App. Dazu müssen Sie beide folgenden Schritte ausführen:

Hinweis

Fügen Sie App Check Ihrer App hinzu. Verwenden Sie dazu entweder App Attest, DeviceCheck oder einen benutzerdefinierten Anbieter.

App Check Tokens mit Back-End-Anfragen senden

Damit Ihre Back-End-Anfragen ein gültiges, nicht abgelaufenes App Check Token enthalten, umschließen Sie jede Anfrage mit einem Aufruf von AppCheck.token(). Die App Check Bibliothek aktualisiert das Token bei Bedarf. Sie können im Abschlussblock der Methode darauf zugreifen.

Sobald Sie ein gültiges Token haben, senden Sie es zusammen mit der Anfrage an Ihr Back-End. Wie Sie das tun, bleibt Ihnen überlassen. Senden Sie App Check Tokens aber nicht als Teil von URLs, auch nicht in Abfrageparametern, da sie dadurch anfällig für unbeabsichtigte Weitergabe und Abfangen werden. Im folgenden Beispiel wird das Token in einem benutzerdefinierten HTTP-Header gesendet. Das ist der empfohlene Ansatz.

Swift

do {
  let token = try await AppCheck.appCheck().token(forcingRefresh: false)

  // Get the raw App Check token string.
  let tokenString = token.token

  // Include the App Check token with requests to your server.
  let url = URL(string: "https://yourbackend.example.com/yourApiEndpoint")!
  var request = URLRequest(url: url)
  request.httpMethod = "GET"
  request.setValue(tokenString, forHTTPHeaderField: "X-Firebase-AppCheck")

  let task = URLSession.shared.dataTask(with: request) { data, response, error in
      // Handle response from your backend.
  }
  task.resume()
} catch(let error) {
  print("Unable to retrieve App Check token: \(error)")
  return
}

Objective-C

[[FIRAppCheck appCheck] tokenForcingRefresh:NO
                                 completion:^(FIRAppCheckToken * _Nullable token,
                                              NSError * _Nullable error) {
    if (error != nil) {
        // Handle any errors if the token was not retrieved.
        NSLog(@"Unable to retrieve App Check token: %@", error);
        return;
    }
    if (token == nil) {
        NSLog(@"Unable to retrieve App Check token.");
        return;
    }

    // Get the raw App Check token string.
    NSString *tokenString = token.token;

    // Include the App Check token with requests to your server.
    NSURL *url = [[NSURL alloc] initWithString:@"https://yourbackend.example.com/yourApiEndpoint"];
    NSMutableURLRequest *request = [[NSMutableURLRequest alloc] initWithURL:url];
    [request setHTTPMethod:@"GET"];
    [request setValue:tokenString forHTTPHeaderField:@"X-Firebase-AppCheck"];

    NSURLSessionDataTask *task =
        [[NSURLSession sharedSession] dataTaskWithRequest:request
                                        completionHandler:^(NSData * _Nullable data,
                                                            NSURLResponse * _Nullable response,
                                                            NSError * _Nullable error) {
        // Handle response from your backend.
    }];
    [task resume];
}];

Wiedergabeschutz (Beta)

Wenn Sie eine Anfrage an einen Endpunkt senden, für den Sie den Wiedergabeschutz aktiviert haben, umschließen Sie die Anfrage mit einem Aufruf von limitedUseToken() anstelle von token():

Swift

AppCheck.appCheck().limitedUseToken() { token, error in
  // ...
}

Objective-C

[[FIRAppCheck appCheck] limitedUseTokenWithCompletion:^(FIRAppCheckToken * _Nullable token,
                                                        NSError * _Nullable error) {
    // ...
}];