Sie k�nnen mit App Check auch nicht Firebase-Ressourcen Ihrer App wie selbst gehostete Backends sch�tzen. Dazu m�ssen Sie Folgendes tun:
- �ndern Sie Ihren App-Client so, dass er mit jeder Anfrage ein App Check-Token an Ihr Backend sendet, wie auf dieser Seite beschrieben.
- �ndern Sie Ihr Back-End so, dass f�r jede Anfrage ein g�ltiges App Check-Token erforderlich ist. enthalten, wie unter App Check-Tokens aus einem benutzerdefinierten Back-End �berpr�fen beschrieben.
Hinweis
F�gen Sie Ihrer App App Check hinzu. Verwenden Sie dazu entweder die reCAPTCHA Enterprise-Anbieter oder einen benutzerdefinierten Anbieter.
App Check Tokens mit Backend-Anfragen senden
Rufen Sie im App-Client vor jeder Anfrage einen g�ltigen, nicht abgelaufenen App Check ab.
Token mit appCheck().getToken(). Die App Check-Mediathek wird aktualisiert:
Token.
Wenn Sie ein g�ltiges Token haben, senden Sie es zusammen mit der Anfrage an Ihr Back-End. Wie Sie dies genau erreichen, liegt in Ihrer Entscheidung. Senden Sie App Check-Tokens jedoch nicht als Teil von URLs, einschlie�lich in Abfrageparametern, da sie dadurch anf�llig f�r versehentliches Leck und Abfangen sind. Die folgenden wird das Token in einem benutzerdefinierten HTTP-Header gesendet. Dies ist die empfohlene Ansatz.
Web
import { initializeAppCheck, getToken } from 'firebase/app-check';
const appCheck = initializeAppCheck(
app,
{ provider: provider } // ReCaptchaV3Provider or CustomProvider
);
const callApiWithAppCheckExample = async () => {
let appCheckTokenResponse;
try {
appCheckTokenResponse = await getToken(appCheck, /* forceRefresh= */ false);
} catch (err) {
// Handle any errors if the token was not retrieved.
return;
}
// Include the App Check token with requests to your server.
const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
headers: {
'X-Firebase-AppCheck': appCheckTokenResponse.token,
}
});
// Handle response from your backend.
};
Web
const callApiWithAppCheckExample = async () => {
let appCheckTokenResponse;
try {
appCheckTokenResponse = await firebase.appCheck().getToken(/* forceRefresh= */ false);
} catch (err) {
// Handle any errors if the token was not retrieved.
return;
}
// Include the App Check token with requests to your server.
const apiResponse = await fetch('https://yourbackend.example.com/yourApiEndpoint', {
headers: {
'X-Firebase-AppCheck': appCheckTokenResponse.token,
}
});
// Handle response from your backend.
};
Replay-Schutz (Beta)
Wenn du eine Anfrage an einen Endpunkt sendest, f�r den du den Replay-Schutz aktiviert hast, musst du ein Token mit getLimitedUseToken() statt getToken() abrufen:
import { getLimitedUseToken } from "firebase/app-check";
// ...
appCheckTokenResponse = await getLimitedUseToken(appCheck);