אתם יכולים להשתמש ב-App Check כדי להגן על משאבי קצה עורפי בהתאמה אישית שאינם של Google עבור האפליקציה שלכם, כמו קצה עורפי באירוח עצמי. כדי לעשות זאת, תצטרכו לבצע את שתי הפעולות הבאות:
- משנים את לקוח האפליקציה כך שישלח טוקן App Check עם כל בקשה לשרת העורפי, כמו שמתואר בדף הזה.
- משנים את הקצה העורפי כך שיידרש אסימון App Check תקין בכל בקשה, כמו שמתואר במאמר אימות אסימוני App Check מקצה עורפי בהתאמה אישית.
לפני שמתחילים
מוסיפים את App Check לאפליקציה באמצעות ספק ברירת המחדל של Play Integrity או ספק בהתאמה אישית.
שליחת טוקנים של App Check עם בקשות מהקצה העורפי
כדי לוודא שהבקשות לשרת העורפי כוללות טוקן App Check תקין שלא פג תוקפו, צריך לעטוף כל בקשה בקריאה ל-getAppCheckToken(). הספרייה App Check תרענן את הטוקן אם יהיה צורך בכך, ותוכלו לגשת לטוקן ב-listener של השיטה להצלחה.
אחרי שיוצרים טוקן תקין, שולחים אותו עם הבקשה לשרת העורפי. האופן שבו תעשו את זה תלוי בכם, אבל אל תשלחו אסימוני App Check כחלק מכתובות URL, כולל בפרמטרים של שאילתות, כי זה הופך אותם לפגיעים לדליפה מקרית וליירוט. הגישה המומלצת היא לשלוח את האסימון בכותרת HTTP מותאמת אישית.
לדוגמה, אם משתמשים ב-Retrofit:
Kotlin
class ApiWithAppCheckExample { interface YourExampleBackendService { @GET("yourExampleEndpoint") fun exampleData( @Header("X-Firebase-AppCheck") appCheckToken: String, ): Call<List<String>> } var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService::class.java) fun callApiExample() { Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken -> val token = appCheckToken.token val apiCall = yourExampleBackendService.exampleData(token) // ... } } }
Java
public class ApiWithAppCheckExample { private interface YourExampleBackendService { @GET("yourExampleEndpoint") Call<List<String>> exampleData( @Header("X-Firebase-AppCheck") String appCheckToken); } YourExampleBackendService yourExampleBackendService = new Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService.class); public void callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(@NonNull AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); Call<List<String>> apiCall = yourExampleBackendService.exampleData(token); // ... } }); } }
הגנה מפני הפעלה חוזרת (בטא)
כששולחים בקשה לנקודת קצה שהפעלתם עבורה הגנה מפני הפעלה חוזרת, צריך לעטוף את הבקשה בקריאה ל-getLimitedUseAppCheckToken() במקום ל-getAppCheckToken():
Kotlin
Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener { // ... }
Java
FirebaseAppCheck.getInstance() .getLimitedUseAppCheckToken().addOnSuccessListener( new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); // ... } } );