حماية الموارد غير التابعة لمنصة Firebase باستخدام ميزة "فحص التطبيقات" على Android

يمكنك استخدام ميزة "فحص التطبيقات" لحماية موارد تطبيقك غير التابعة لمنصة Firebase، مثل الخلفيات التي تتم استضافتها ذاتيًا. ولإجراء ذلك، عليك تنفيذ كلا الإجراءَين التاليَين:

• يُرجى تعديل برنامج تطبيقك لإرسال رمز التحقّق من التطبيق مع كل طلب إلى الخلفية على النحو الموضّح في هذه الصفحة.
• عليك تعديل الخلفية لتتطلّب رمزًا مميزًا صالحًا من App Check مع كل طلب، على النحو الموضّح في مقالة التحقّق من الرموز المميّزة لـ App Check من خلفية مخصّصة.

قبل البدء

إضافة ميزة "فحص التطبيقات" إلى تطبيقك باستخدام إمّا مقدِّم خدمة Play Integrity التلقائي أو مقدِّم خدمة مخصّص

إرسال الرموز المميّزة من App Check مع طلبات الخلفية

للتأكُّد من احتواء طلبات الخلفية على رمز مميّز صالح وغير منتهي الصلاحية للتحقّق من App Check، عليك إحاطة كل طلب باستدعاء إلى getAppCheckToken(). ستقوم مكتبة App Check بتحديث الرمز المميز إذا لزم الأمر، ويمكنك الوصول إلى الرمز المميز في أداة معالجة نجاح الطريقة.

بعد حصولك على رمز مميز صالح، أرسله مع الطلب إلى الواجهة الخلفية. ويعود إليك التفاصيل في كيفية إنجاز ذلك، ولكن يُرجى عدم إرسال رموز App Check كجزء من عناوين URL، بما في ذلك مَعلمات طلب البحث، لأنّ ذلك يجعلها عرضة للتسرب والاعتراض غير المقصود. والأسلوب الموصى به هو إرسال الرمز المميز في عنوان HTTP مخصص.

على سبيل المثال، إذا كنت تستخدم التسوية:

class ApiWithAppCheckExample {
    interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        fun exampleData(
            @Header("X-Firebase-AppCheck") appCheckToken: String,
        ): Call<List<String>>
    }

    var yourExampleBackendService: YourExampleBackendService = Retrofit.Builder()
        .baseUrl("https://yourbackend.example.com/")
        .build()
        .create(YourExampleBackendService::class.java)

    fun callApiExample() {
        Firebase.appCheck.getAppCheckToken(false).addOnSuccessListener { appCheckToken ->
            val token = appCheckToken.token
            val apiCall = yourExampleBackendService.exampleData(token)
            // ...
        }
    }
}
ApiWithAppCheckExample.kt

public class ApiWithAppCheckExample {
    private interface YourExampleBackendService {
        @GET("yourExampleEndpoint")
        Call<List<String>> exampleData(
                @Header("X-Firebase-AppCheck") String appCheckToken);
    }

    YourExampleBackendService yourExampleBackendService = new Retrofit.Builder()
            .baseUrl("https://yourbackend.example.com/")
            .build()
            .create(YourExampleBackendService.class);

    public void callApiExample() {
        FirebaseAppCheck.getInstance()
                .getAppCheckToken(false)
                .addOnSuccessListener(new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(@NonNull AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        Call<List<String>> apiCall =
                                yourExampleBackendService.exampleData(token);
                        // ...
                    }
                });
    }
}
ApiWithAppCheckExample.java

الحماية من إعادة التشغيل (ميزة تجريبية)

عند إرسال طلب إلى نقطة نهاية فعّلت الحماية من إعادة التشغيل لها، عليك إحاطة الطلب باستدعاء إلى getLimitedUseAppCheckToken() بدلاً من getAppCheckToken():

Firebase.appCheck.limitedUseAppCheckToken.addOnSuccessListener {
    // ...
}
ApiWithAppCheckExample.kt

FirebaseAppCheck.getInstance()
        .getLimitedUseAppCheckToken().addOnSuccessListener(
                new OnSuccessListener<AppCheckToken>() {
                    @Override
                    public void onSuccess(AppCheckToken appCheckToken) {
                        String token = appCheckToken.getToken();
                        // ...
                    }
                }
        );
ApiWithAppCheckExample.java