Защитите пользовательские серверные ресурсы с помощью проверки приложений в веб-приложениях.

С помощью App Check вы можете защитить собственные ресурсы бэкэнда вашего приложения, не относящиеся к Google, например, ваш собственный бэкэнд, размещенный на вашем сервере. Для этого вам потребуется выполнить оба следующих действия:

• Измените клиентское приложение таким образом, чтобы оно отправляло токен App Check вместе с каждым запросом на бэкэнд, как описано на этой странице.
• Измените свою серверную часть таким образом, чтобы при каждом запросе требовался действительный токен App Check , как описано в разделе «Проверка токенов App Check из пользовательской серверной части» .

Прежде чем начать

Добавьте App Check ), используя либо поставщик reCAPTCHA Enterprise , либо собственный поставщик .

Отправка токенов App Check с помощью запросов к бэкэнду.

В клиентском приложении перед каждым запросом получайте действительный, непросроченный токен App Check с помощью appCheck().getToken() . Библиотека App Check обновит токен при необходимости.

Получив действительный токен, отправьте его вместе с запросом на ваш бэкэнд. Конкретные способы отправки зависят от вас, но не отправляйте токены App Check в составе URL-адресов , в том числе в параметрах запроса, поскольку это делает их уязвимыми для случайной утечки и перехвата. В следующем примере токен отправляется в пользовательском HTTP-заголовке, что является рекомендуемым подходом.

import { initializeAppCheck, getToken } from 'firebase/app-check';

const appCheck = initializeAppCheck(
    app,
    { provider: provider } // ReCaptchaV3Provider or CustomProvider
);

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};
appcheck_nonfirebase.js

const callApiWithAppCheckExample = async () => {
  let appCheckTokenResponse;
  try {
      appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
  } catch (err) {
      // Handle any errors if the token was not retrieved.
      return;
  }

  // Include the App Check token with requests to your server.
  const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
      headers: {
          'X-Firebase-AppCheck': appCheckTokenResponse.token,
      }
  });

  // Handle response from your backend.
};
index.js

Защита от повторного воспроизведения (бета-версия)

При отправке запроса к конечной точке, для которой включена защита от повторного воспроизведения , получайте токен, используя метод getLimitedUseToken() вместо getToken() :

import { getLimitedUseToken } from "firebase/app-check";

// ...

appCheckTokenResponse = await getLimitedUseToken(appCheck);