Comece a usar o App Check com um provedor personalizado em aplicativos da web

Esta página mostra como habilitar o App Check em um aplicativo da web, usando seu provedor de App Check personalizado . Ao ativar o App Check, você ajuda a garantir que apenas seu aplicativo possa acessar os recursos do Firebase do seu projeto.

Se você quiser usar o App Check com um dos provedores integrados, consulte os documentos do App Check com reCAPTCHA v3 e App Check com reCAPTCHA Enterprise .

Antes de você começar

• Adicione o Firebase ao seu projeto JavaScript, caso ainda não o tenha feito.

• Implemente a lógica do lado do servidor do seu provedor App Check personalizado .

1. Adicione a biblioteca App Check ao seu aplicativo

Adicione o Firebase ao seu aplicativo da Web, caso ainda não o tenha feito. Certifique-se de importar a biblioteca App Check.

2. Crie o objeto provedor App Check

Crie um objeto de provedor App Check para seu provedor personalizado. Esse objeto deve ter um método getToken() , que coleta todas as informações que seu provedor de App Check personalizado requer como prova de autenticidade e as envia para seu serviço de aquisição de token em troca de um token de App Check. O App Check SDK lida com o cache de token, portanto, sempre obtenha um novo token em sua implementação de getToken() .

const { CustomProvider } = require("firebase/app-check");

const appCheckCustomProvider = new CustomProvider({
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
});
index.js

const appCheckCustomProvider = {
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
};
index.js

3. Inicialize a verificação do aplicativo

Adicione o seguinte código de inicialização ao seu aplicativo antes de acessar qualquer serviço do Firebase:

const { initializeApp } = require("firebase/app");
const { initializeAppCheck } = require("firebase/app-check");

const app = initializeApp({
  // Your firebase configuration object
});

const appCheck = initializeAppCheck(app, {
  provider: appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true    
});
index.js

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
appCheck.activate(
  appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);
index.js

Próximos passos

Depois que a biblioteca App Check estiver instalada em seu aplicativo, implante-a.

O aplicativo cliente atualizado começará a enviar tokens do App Check junto com todas as solicitações feitas ao Firebase, mas os produtos Firebase não exigirão que os tokens sejam válidos até que você habilite a aplicação na seção App Check do console do Firebase.

Monitore as métricas e habilite a aplicação

Antes de habilitar a imposição, no entanto, certifique-se de que isso não interromperá seus usuários legítimos existentes. Por outro lado, se você perceber o uso suspeito dos recursos do seu aplicativo, convém ativar a aplicação mais cedo.

Para ajudar a tomar essa decisão, você pode consultar as métricas do App Check para os serviços que usa:

• Monitore as métricas de solicitação do App Check para Realtime Database, Cloud Firestore e Cloud Storage.
• Monitore as métricas de solicitação de verificação de aplicativo para Cloud Functions .

Ativar a aplicação do App Check

Quando você entender como o App Check afetará seus usuários e estiver pronto para prosseguir, poderá ativar a aplicação do App Check:

• Ative a aplicação do App Check para Realtime Database, Cloud Firestore e Cloud Storage.
• Ative a aplicação do App Check para Cloud Functions .

Use o App Check em ambientes de depuração

Se, depois de registrar seu aplicativo no App Check, você quiser executá-lo em um ambiente que o App Check normalmente não classificaria como válido, como localmente durante o desenvolvimento ou a partir de um ambiente de integração contínua (CI), você pode criar uma compilação de depuração do seu aplicativo que usa o provedor de depuração do App Check em vez de um provedor de atestado real.

Consulte Use App Check com o provedor de depuração em aplicativos da web .

Esta página mostra como habilitar o App Check em um aplicativo da web, usando seu provedor de App Check personalizado . Ao ativar o App Check, você ajuda a garantir que apenas seu aplicativo possa acessar os recursos do Firebase do seu projeto.

Se você quiser usar o App Check com um dos provedores integrados, consulte os documentos do App Check com reCAPTCHA v3 e App Check com reCAPTCHA Enterprise .

Antes de você começar

• Adicione o Firebase ao seu projeto JavaScript, caso ainda não o tenha feito.

• Implemente a lógica do lado do servidor do seu provedor App Check personalizado .

1. Adicione a biblioteca App Check ao seu aplicativo

Adicione o Firebase ao seu aplicativo da Web, caso ainda não o tenha feito. Certifique-se de importar a biblioteca App Check.

2. Crie o objeto provedor App Check

Crie um objeto de provedor App Check para seu provedor personalizado. Esse objeto deve ter um método getToken() , que coleta todas as informações que seu provedor de App Check personalizado requer como prova de autenticidade e as envia para seu serviço de aquisição de token em troca de um token de App Check. O App Check SDK lida com o cache de token, portanto, sempre obtenha um novo token em sua implementação de getToken() .

const { CustomProvider } = require("firebase/app-check");

const appCheckCustomProvider = new CustomProvider({
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
});
index.js

const appCheckCustomProvider = {
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
};
index.js

3. Inicialize a verificação do aplicativo

Adicione o seguinte código de inicialização ao seu aplicativo antes de acessar qualquer serviço do Firebase:

const { initializeApp } = require("firebase/app");
const { initializeAppCheck } = require("firebase/app-check");

const app = initializeApp({
  // Your firebase configuration object
});

const appCheck = initializeAppCheck(app, {
  provider: appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true    
});
index.js

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
appCheck.activate(
  appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);
index.js

Próximos passos

Depois que a biblioteca App Check estiver instalada em seu aplicativo, implante-a.

O aplicativo cliente atualizado começará a enviar tokens do App Check junto com todas as solicitações feitas ao Firebase, mas os produtos Firebase não exigirão que os tokens sejam válidos até que você habilite a aplicação na seção App Check do console do Firebase.

Monitore as métricas e habilite a aplicação

Antes de habilitar a imposição, no entanto, certifique-se de que isso não interromperá seus usuários legítimos existentes. Por outro lado, se você perceber o uso suspeito dos recursos do seu aplicativo, convém ativar a aplicação mais cedo.

Para ajudar a tomar essa decisão, você pode consultar as métricas do App Check para os serviços que usa:

• Monitore as métricas de solicitação do App Check para Realtime Database, Cloud Firestore e Cloud Storage.
• Monitore as métricas de solicitação de verificação de aplicativo para Cloud Functions .

Ativar a aplicação do App Check

Quando você entender como o App Check afetará seus usuários e estiver pronto para prosseguir, poderá ativar a aplicação do App Check:

• Ative a aplicação do App Check para Realtime Database, Cloud Firestore e Cloud Storage.
• Ative a aplicação do App Check para Cloud Functions .

Use o App Check em ambientes de depuração

Se, depois de registrar seu aplicativo no App Check, você quiser executá-lo em um ambiente que o App Check normalmente não classificaria como válido, como localmente durante o desenvolvimento ou a partir de um ambiente de integração contínua (CI), você pode criar uma compilação de depuração do seu aplicativo que usa o provedor de depuração do App Check em vez de um provedor de atestado real.

Consulte Use App Check com o provedor de depuração em aplicativos da web .