Вы можете использовать App Check для защиты не-Google пользовательских бэкенд-ресурсов для вашего приложения, например, вашего собственного бэкенда. Для этого вам нужно будет выполнить оба следующих действия:
- Измените клиентское приложение так, чтобы оно отправляло токен App Check вместе с каждым запросом на ваш бэкэнд, как описано на этой странице.
- Измените свой бэкэнд так, чтобы он требовал действительный токен App Check при каждом запросе, как описано в разделе Проверка токенов App Check с помощью пользовательского бэкэнда .
Прежде чем начать
Добавьте App Check в свое приложение, используя либо поставщика reCAPTCHA Enterprise , либо пользовательского поставщика .
Отправка токенов App Check с бэкэнд-запросами
В клиенте вашего приложения перед каждым запросом получайте действительный, неистекший токен App Check с помощью appCheck().getToken() . Библиотека App Check обновит токен при необходимости.
Получив действительный токен, отправьте его вместе с запросом на бэкенд. Конкретные действия по выполнению этого задания зависят от вас, но не отправляйте токены App Check как часть URL-адресов , в том числе в параметрах запроса, так как это делает их уязвимыми для случайной утечки и перехвата. В следующем примере токен отправляется в пользовательском заголовке HTTP, что является рекомендуемым подходом.
Web
import { initializeAppCheck, getToken } from 'firebase/app-check'; const appCheck = initializeAppCheck( app, { provider: provider } // ReCaptchaV3Provider or CustomProvider ); const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Web
const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Защита от повторного воспроизведения (бета)
При выполнении запроса к конечной точке, для которой вы включили защиту от повторного воспроизведения , получите токен, используя getLimitedUseToken() вместо getToken() :
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);
Вы можете использовать App Check для защиты не-Google пользовательских бэкенд-ресурсов для вашего приложения, например, вашего собственного бэкенда. Для этого вам нужно будет выполнить оба следующих действия:
- Измените клиентское приложение так, чтобы оно отправляло токен App Check вместе с каждым запросом на ваш бэкэнд, как описано на этой странице.
- Измените свой бэкэнд так, чтобы он требовал действительный токен App Check при каждом запросе, как описано в разделе Проверка токенов App Check с помощью пользовательского бэкэнда .
Прежде чем начать
Добавьте App Check в свое приложение, используя либо поставщика reCAPTCHA Enterprise , либо пользовательского поставщика .
Отправка токенов App Check с бэкэнд-запросами
В клиенте вашего приложения перед каждым запросом получайте действительный, неистекший токен App Check с помощью appCheck().getToken() . Библиотека App Check обновит токен при необходимости.
Получив действительный токен, отправьте его вместе с запросом на бэкенд. Конкретные действия по выполнению этого задания зависят от вас, но не отправляйте токены App Check как часть URL-адресов , в том числе в параметрах запроса, так как это делает их уязвимыми для случайной утечки и перехвата. В следующем примере токен отправляется в пользовательском заголовке HTTP, что является рекомендуемым подходом.
Web
import { initializeAppCheck, getToken } from 'firebase/app-check'; const appCheck = initializeAppCheck( app, { provider: provider } // ReCaptchaV3Provider or CustomProvider ); const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Web
const callApiWithAppCheckExample = async () => { let appCheckTokenResponse; try { appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false); } catch (err) { // Handle any errors if the token was not retrieved. return; } // Include the App Check token with requests to your server. const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', { headers: { 'X-Firebase-AppCheck': appCheckTokenResponse.token, } }); // Handle response from your backend. };
Защита от повторного воспроизведения (бета)
При выполнении запроса к конечной точке, для которой вы включили защиту от повторного воспроизведения , получите токен, используя getLimitedUseToken() вместо getToken() :
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);