可以使用 firebase admin sdk 来验证自定义后端上的应用程序检查令牌吗?

Can firebase admin sdk be used to verify app check tokens on custom backends?

应用程序检查是保护 firebase 后端服务的重要来源,但我想知道我们是否也可以在自定义后端上使用它,类似于自定义后端如何验证 firebase 的身份验证令牌?

这是示例用例场景(只能找到部分文档,所以不确定是否可行)

  1. App Check 已在 firebase 控制台/sdk 中设置
  2. 我们能否在客户端获取应用检查令牌,以便将其作为自定义发送 header?
  3. 在接收服务器上,我们可以使用 admin sdk 来验证来自 header 的此类令牌吗?

使用 Firebase App Check 确保您的自定义后端代码只能从您自己的 front-end 应用程序调用是可能的,并且在从 [=13 调用时保护 non-Firebase 资源的页面中进行了记录=].从那里:

To verify App Check tokens on your backend, add logic to your API endpoints that does the following:

  • Check that each request include an App Check token.

  • Verify the App Check token using the Admin SDK's appCheck().verifyToken() method.

    If verification succeeds, verifyToken() returns the decoded App Check token. Successful verification indicates the token originated from an app belonging to your Firebase project.

Reject any request that fails either check.

该文档还在 Node.js 中包含如何执行此操作的示例,因此我建议查看该文档以了解更多详细信息。

还有此博客 post:使用 Firebase App Check 保护您自己的后端服务