Puoi utilizzare App Check per proteggere le risorse di backend personalizzate non Google per la tua app, come il tuo backend self-hosted. A questo scopo, dovrai fare entrambe le seguenti operazioni:
- Modifica il client dell'app per inviare un token App Check insieme a ogni richiesta al backend, come descritto in questa pagina.
- Modifica il backend in modo che richieda un token App Check valido per ogni richiesta, come descritto in Verificare i token App Check da un backend personalizzato.
Prima di iniziare
Aggiungi App Check alla tua app utilizzando i provider predefiniti.
Inviare token App Check con le richieste di backend
Per assicurarti che le richieste di backend includano un token App Check valido e non scaduto,
precedi ogni richiesta con una chiamata a getToken(). La libreria App Check
aggiornerà il token, se necessario.
Una volta ottenuto un token valido, invialo insieme alla richiesta al tuo backend. I dettagli su come eseguire questa operazione dipendono da te, ma non inviare token App Check come parte degli URL, inclusi i parametri di query, in quanto li rende vulnerabili a divulgazione e intercettazione accidentali. L'approccio consigliato è inviare il token in un'intestazione HTTP personalizzata.
Ad esempio:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}