Use o App Check para proteger recursos de back-end personalizados que não são do Google para seu app, como o back-end auto-hospedado. Para isso, será necessário realizar as ações a seguir:
- Modifique o cliente do app para enviar um token do App Check junto com cada solicitação para o back-end, conforme descrito nesta página.
- Modifique seu back-end para exigir um token do App Check válido em todas as solicitações, conforme descrito em Verificar tokens do App Check de um back-end personalizado.
Antes de começar
Adicione o App Check ao seu app usando os provedores padrão.
Enviar tokens do App Check com solicitações de back-end
Para garantir que as solicitações de back-end incluam um token válido e não expirado do App Check,
basta preceder cada pedido com uma chamada para FirebaseAppCheck.GetAppCheckTokenAsync().
A biblioteca do App Check vai atualizar o token, se necessário.
Quando você tiver um token válido, envie com a solicitação para o back-end. Você decide como fazer isso, mas não envie tokens do App Check como parte dos URLs, inclusive nos parâmetros de consulta, porque isso os torna vulneráveis a vazamentos e interceptações acidentais. A abordagem recomendada é enviar o token em um cabeçalho HTTP personalizado.
Por exemplo:
void CallApiExample() {
FirebaseAppCheck.DefaultInstance.GetAppCheckToken(false).
ContinueWithOnMainThread(task => {
if (!task.IsFaulted) {
// Got a valid App Check token. Include it in your own http calls.
}
});
}