Firebase AppCheck 自定义验证提供程序实现中的常见问题与解决方案

2025-06-10 21:27:39作者：宣聪麟

背景介绍

Firebase AppCheck 是 Google 提供的一项服务，用于保护应用后端免受滥用和欺诈请求的侵害。开发者可以通过集成 AppCheck 来验证客户端请求的来源是否可信。除了 Firebase 提供的默认验证方式外，AppCheck 还支持自定义验证提供程序（Custom Provider），这为开发者提供了更大的灵活性。

问题描述

在实现自定义验证提供程序时，一个常见的挑战是如何正确处理验证流程。特别是在使用 Firebase Functions 的 HTTP 可调用函数（Callable Functions）时，可能会遇到请求无响应的问题。这种情况通常发生在自定义提供程序的 getToken 方法内部调用这些可调用函数时。

技术分析

1. 验证流程的基本原理

自定义验证提供程序的核心是实现 getToken 方法，该方法需要返回一个有效的 AppCheck 令牌。典型的验证流程包括：

创建验证挑战
客户端解决挑战
提交解决方案并获取令牌

2. 问题根源

当在 getToken 方法内部使用 Firebase 的可调用函数时，可能会遇到以下问题：

循环依赖：AppCheck 验证可能需要调用函数，而这些函数本身可能要求 AppCheck 验证
请求拦截：Firebase SDK 可能会拦截这些内部请求
异步处理：验证流程中的异步操作可能没有正确处理

3. 解决方案

经过实践验证，以下方法可以有效解决这个问题：

使用标准 HTTP 端点替代可调用函数
- 将 Firebase Functions 中的逻辑改为普通的 HTTP 端点
- 使用 fetch API 直接调用这些端点
- 这样可以避免 Firebase SDK 的请求拦截
优化验证流程
- 确保验证挑战的生成和验证是独立的
- 合理设置验证令牌的生存时间（TTL）
- 在自定义声明中包含必要的验证信息

实现建议

客户端实现

const appCheckProvider = new CustomProvider({
  getToken: async () => {
    // 使用 fetch 调用普通 HTTP 端点
    const challengeResponse = await fetch('your-challenge-endpoint');
    const challengeData = await challengeResponse.json();
    
    // 解决挑战
    const solution = await solveChallenge(challengeData);
    
    // 获取令牌
    const tokenResponse = await fetch('your-token-endpoint', {
      method: 'POST',
      body: JSON.stringify({ solution })
    });
    
    return tokenResponse.json();
  }
});

服务端实现

// 挑战生成端点
app.get('/challenge', async (req, res) => {
  const challenge = await createChallenge();
  res.json(challenge);
});

// 令牌颁发端点
app.post('/token', async (req, res) => {
  const isValid = await verifySolution(req.body.solution);
  if (isValid) {
    const token = await createAppCheckToken(req.body.solution);
    res.json({ token });
  } else {
    res.status(403).json({ error: '验证失败' });
  }
});