Mit App Check können Sie benutzerdefinierte Backend-Ressourcen für Ihre App schützen, die nicht von Google gehostet werden, z. B. Ihr eigenes selbst gehostetes Backend. Dazu müssen Sie beide der folgenden Schritte ausführen:
- Ändern Sie Ihren App-Client so, dass er mit jeder Anfrage an Ihr Backend ein App Check Token sendet, wie auf dieser Seite beschrieben.
- Ändern Sie Ihr Backend so, dass für jede Anfrage ein gültiges App Check Token erforderlich ist, wie unter App Check Tokens von einem benutzerdefinierten Backend überprüfen beschrieben.
Hinweis
Fügen Sie App Check Ihrer App hinzu. Verwenden Sie dazu entweder den Standard Anbieter für die Play-Integrität oder einen benutzerdefinierten Anbieter.
App Check Tokens mit Backend-Anfragen senden
Damit Ihre Backend-Anfragen ein gültiges, nicht abgelaufenes App Check Token enthalten,
umschließen Sie jede Anfrage mit einem Aufruf von getAppCheckToken(). Die App Check Bibliothek
aktualisiert das Token bei Bedarf. Sie können im
Erfolgs-Listener der Methode darauf zugreifen.
Sobald Sie ein gültiges Token haben, senden Sie es zusammen mit der Anfrage an Ihr Backend. Wie Sie das tun, bleibt Ihnen überlassen. Senden Sie App Check Tokens jedoch nicht als Teil von URLs, auch nicht in Abfrageparametern, da sie dadurch anfällig für unbeabsichtigte Weitergabe und Abfangen werden. Es wird empfohlen, das Token in einem benutzerdefinierten HTTP-Header zu senden.
Wenn Sie beispielsweise Retrofit verwenden, gehen Sie so vor:
Kotlin
class ApiWithAppCheckExample { interface YourExampleBackendService { @GET("yourExampleEndpoint") fun exampleData( @Header("X-Firebase-AppCheck") appCheckToken: String, ): Call<List<String>> } var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService::class.java) fun callApiExample() { Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken -> val token = appCheckToken.token val apiCall = yourExampleBackendService.exampleData(token) // ... } } }
Java
public class ApiWithAppCheckExample { private interface YourExampleBackendService { @GET("yourExampleEndpoint") Call<List<String>> exampleData( @Header("X-Firebase-AppCheck") String appCheckToken); } YourExampleBackendService yourExampleBackendService = new Retrofit.Builder() .baseUrl("https://yourbackend.example.com/") .build() .create(YourExampleBackendService.class); public void callApiExample() { FirebaseAppCheck.getInstance() .getAppCheckToken(false) .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(@NonNull AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); Call<List<String>> apiCall = yourExampleBackendService.exampleData(token); // ... } }); } }
Schutz vor Wiederholungsangriffen (Beta)
Wenn Sie eine Anfrage an einen Endpunkt senden, für den Sie den
Schutz vor Wiederholungsangriffen aktiviert haben,
umschließen Sie die Anfrage mit einem Aufruf von getLimitedUseAppCheckToken() anstelle von
getAppCheckToken():
Kotlin
Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener { // ... }
Java
FirebaseAppCheck.getInstance() .getLimitedUseAppCheckToken().addOnSuccessListener( new OnSuccessListener<AppCheckToken>() { @Override public void onSuccess(AppCheckToken appCheckToken) { String token = appCheckToken.getToken(); // ... } } );