En esta página, se muestra cómo habilitar la Verificación de aplicaciones en una aplicación web mediante tu proveedor personalizado de la Verificación de aplicaciones. Cuando habilitas la Verificación de aplicaciones, ayudas a garantizar que solo la app pueda acceder a los recursos de Firebase de tu proyecto.
Si deseas usar la Verificación de aplicaciones con uno de los proveedores integrados, consulta los documentos sobre la Verificación de aplicaciones con reCAPTCHA Enterprise.
Antes de comenzar
Si aún no lo has hecho, agrega Firebase al proyecto de JavaScript.
Implementa la lógica del servidor del proveedor personalizado de la Verificación de aplicaciones.
1. Agrega la biblioteca de la Verificación de aplicaciones a la app
Si aún no lo has hecho, agrega Firebase a la app web. Asegúrate de importar la biblioteca de la Verificación de aplicaciones.
2. Crea el objeto del proveedor de la Verificación de aplicaciones
Crea un objeto del proveedor de la Verificación de aplicaciones para tu proveedor personalizado. Este objeto debe tener un método getToken(), que recopila toda la información que tu proveedor personalizado de la Verificación de aplicaciones requiere como prueba de autenticidad. Luego, la envía al servicio de adquisición de tokens a cambio de un token de la Verificación de aplicaciones. El
SDK de la Verificación de aplicaciones controla el almacenamiento en caché de tokens, por lo que siempre debes obtener un token nuevo
en la implementación de getToken().
Web
import { CustomProvider } from "firebase/app-check";
const appCheckCustomProvider = new CustomProvider({
getToken: () => {
return new Promise((resolve, _reject) => {
// TODO: Logic to exchange proof of authenticity for an App Check token and
// expiration time.
// ...
const appCheckToken = {
token: tokenFromServer,
expireTimeMillis: expirationFromServer * 1000
};
resolve(appCheckToken);
});
}
});
Web
const appCheckCustomProvider = {
getToken: () => {
return new Promise((resolve, _reject) => {
// TODO: Logic to exchange proof of authenticity for an App Check token and
// expiration time.
// ...
const appCheckToken = {
token: tokenFromServer,
expireTimeMillis: expirationFromServer * 1000
};
resolve(appCheckToken);
});
}
};
3. Inicializa la Verificación de aplicaciones
Agrega el siguiente código de inicialización a la aplicación antes de acceder a cualquier servicio de Firebase:
Web
import { initializeApp } from "firebase/app";
import { initializeAppCheck } from "firebase/app-check";
const app = initializeApp({
// Your firebase configuration object
});
const appCheck = initializeAppCheck(app, {
provider: appCheckCustomProvider,
// Optional argument. If true, the SDK automatically refreshes App Check
// tokens as needed.
isTokenAutoRefreshEnabled: true
});
Web
firebase.initializeApp({
// Your firebase configuration object
});
const appCheck = firebase.appCheck();
appCheck.activate(
appCheckCustomProvider,
// Optional argument. If true, the SDK automatically refreshes App Check
// tokens as needed.
true);
Próximos pasos
Una vez que la biblioteca de la Verificación de aplicaciones esté instalada en la app, debes implementarla.
La app cliente actualizada comenzará a enviar tokens de la Verificación de aplicaciones junto con cada solicitud que realice a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilites la aplicación forzosa en la sección de la Verificación de aplicaciones de Firebase console.
Supervisa las métricas y habilita la aplicación forzosa
Sin embargo, antes de habilitar la aplicación forzosa, debes asegurarte de que esto no interrumpa a tus usuarios legítimos existentes. Por otro lado, si ves un uso sospechoso de los recursos de tu app, te convendrá habilitar la aplicación más pronto.
Para ayudarte a tomar esta decisión, puedes consultar las métricas de la Verificación de aplicaciones para los servicios que usas:
- Supervisa las métricas de solicitudes de la Verificación de aplicaciones para Realtime Database, Cloud Firestore, Cloud Storage y Authentication (beta).
- Supervisa las métricas de solicitudes de la Verificación de aplicaciones para Cloud Functions.
Habilita la aplicación forzosa de la Verificación de aplicaciones
Cuando comprendas cómo la Verificación de aplicaciones afectará a los usuarios y cuentes con todo lo necesario para continuar, puedes habilitar la aplicación forzosa de la Verificación de aplicaciones:
- Habilita la aplicación forzosa de la Verificación de aplicaciones para Realtime Database, Cloud Firestore, Cloud Storage y Authentication (beta).
- Habilita la aplicación forzosa de la Verificación de aplicaciones para Cloud Functions.
Usa la Verificación de aplicaciones en entornos de depuración
Si, después de registrar la app en la Verificación de aplicaciones, quieres ejecutarla en un entorno que la Verificación de aplicaciones no suele clasificar como válido, como de forma local durante el desarrollo, o desde un entorno de integración continua (CI), puedes crear una compilación de depuración de la app que use el proveedor de depuración de la Verificación de aplicaciones, en lugar de un proveedor de certificación real.
Consulta Usa la Verificación de aplicaciones mediante el proveedor de depuración en aplicaciones web.