您可以透過 App Check保護應用程式的非 Google 自訂後端資源,例如自行管理的後端。如要這麼做,請完成下列兩項操作:
- 按照本頁說明,修改應用程式用戶端,在每次向後端發出要求時,一併傳送應用程式檢查權杖。
- 按照「從自訂後端驗證 App Check 權杖」一文所述,修改後端,要求每個要求都必須附上有效的 App Check 權杖。
事前準備
使用預設供應商,在應用程式中加入 App Check。
在後端要求中傳送 App Check 權杖
為確保後端要求包含有效且未過期的 App Check 權杖,請在每次要求前呼叫 getToken()。應用程式檢查程式庫會在必要時重新整理權杖。
取得有效權杖後,請將權杖連同要求傳送至後端。具體做法由您決定,但請勿透過網址 (包括查詢參數) 傳送應用程式檢查權杖,否則權杖可能會意外洩漏或遭到攔截。建議的做法是在自訂 HTTP 標頭中傳送權杖。
例如:
void callApiExample() async {
final appCheckToken = await FirebaseAppCheck.instance.getToken();
if (appCheckToken != null) {
final response = await http.get(
Uri.parse("https://yourbackend.example.com/yourExampleEndpoint"),
headers: {"X-Firebase-AppCheck": appCheckToken},
);
} else {
// Error: couldn't get an App Check token.
}
}