Catch up on everthing we announced at this year's Firebase Summit. Learn more

使用 Web 应用程序上的自定义提供程序启用应用程序检查

本页说明如何启用一个Web应用程序应用来查看,使用您的自定义应用程序检查供应商。启用 App Check 有助于确保只有您的应用可以访问您项目的 Firebase 资源。

如果你想使用应用程序检查与默认reCAPTCHA的供应商,请参阅启用Web应用程序App中检查与验证码

在你开始之前

1. 将 App Check 库添加到您的应用中

添加火力地堡到您的Web应用程序,如果你还没有准备好。请务必导入 App Check 库。

2. 创建 App Check 提供程序对象

为您的自定义提供程序创建一个 App Check 提供程序对象。这个对象必须有一个getToken()方法,该方法收集的任何信息您的自定义应用程序检查提供商要求的证件的真实性,并将其发送给您的令牌获取的服务换取一个App检查令牌。该应用程序检查SDK手柄令牌缓存,所以总是得到一个新的令牌你的实现getToken()

网页版 9

const { CustomProvider } = require("firebase/app-check");

const appCheckCustomProvider = new CustomProvider({
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
});

网页版 8

const appCheckCustomProvider = {
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
};

3. 初始化应用检查

在您访问任何 Firebase 服务之前,将以下初始化代码添加到您的应用程序:

网页版 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck } = require("firebase/app-check");

const app = initializeApp({
  // Your firebase configuration object
});

const appCheck = initializeAppCheck(app, {
  provider: appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true    
});

网页版 8

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
appCheck.activate(
  appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);

在您的应用程序中安装 App Check 库后,部署它。

更新后的客户端应用将开始发送 App Check 令牌以及它向 Firebase 发出的每个请求,但 Firebase 产品不需要令牌有效,直到您在 Firebase 控制台的 App Check 部分启用强制执行。有关详细信息,请参阅接下来的两节。

4. 监控请求指标

现在您的更新应用已掌握在用户手中,您可以为您使用的 Firebase 产品启用 App Check 的强制执行。但是,在您这样做之前,您应该确保这样做不会干扰您现有的合法用户。

实时数据库、Cloud Firestore 和 Cloud Storage

您可以用来为实时数据库、Cloud Firestore 和 Cloud Storage 做出此决定的一个重要工具是 App Check 请求指标屏幕。

要查看应用程序检查请求指标的产物,打开项目设置>应用检查的火力地堡控制台的部分。例如:

App Check 指标页面的屏幕截图

每个产品的请求指标分为四类:

  • 验证请求是那些具有有效的应用程序检查令牌。启用 App Check 强制后,只有此类别中的请求才会成功。

  • 过时的客户端请求是那些缺少应用程序检查令牌。在 App Check 包含在应用中之前,这些请求可能来自旧版本的 Firebase SDK。

  • 来历不明的请求是那些缺少应用程序检查令牌,不要像他们来自火力地堡SDK。这些可能来自使用被盗 API 密钥发出的请求或在没有 Firebase SDK 的情况下发出的伪造请求。

  • 无效的请求是那些有一个无效的应用程序检查令牌,这可能是从不真实客户端试图假冒您的应用程序,或从模拟环境。

当您决定启用强制执行时,您的应用程序的这些类别的分布应该通知。以下是一些指导方针:

  • 如果几乎所有最近的请求都来自经过验证的客户端,请考虑启用强制措施以开始保护您的后端资源。

  • 如果最近请求的很大一部分来自可能已经过时的客户端,为避免干扰用户,请考虑等待更多用户更新您的应用,然后再启用强制执行。对已发布的应用程序强制执行 App Check 将破坏未与 App Check SDK 集成的先前应用程序版本。

  • 如果您的应用程序尚未启动,您应该立即启用 App Check 强制执行,因为没有任何过时的客户端在使用。

云功能

对于 Cloud Functions,您可以通过检查函数的日志来获取 App Check 指标。可调用函数的每次调用都会发出一个结构化的日志条目,如下例所示:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

您可以通过分析在谷歌云端控制台这些指标建立一个日志,基于计数器的度量与以下数据过滤器:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

标签的指标使用领域jsonPayload.verifications.appCheck

5. 启用执行

要启用强制执行,请按照以下每个产品的说明进行操作。为产品启用强制执行后,所有对该产品的未经验证的请求都将被拒绝。

实时数据库、Cloud Firestore 和 Cloud Storage

要为实时数据库、Cloud Firestore(iOS 和 Android)和 Cloud Storage 启用强制措施:

  1. 打开项目设置>应用程序检查的火力地堡控制台部分。

  2. 展开要为其启用强制执行的产品的指标视图。

  3. 点击强制执行,并确认您的选择。

请注意,启用强制执行后最多可能需要 10 分钟才能生效。

云功能

请参阅启用应用检查执法云功能