Usar o App Check com o provedor de depuração em apps da Web
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Se, depois de registrar seu aplicativo no App Check, você quiser executá-lo
em um ambiente em que o App Check normalmente não seria classificado como válido,
como localmente, durante o desenvolvimento ou em uma integração contínua (CI),
crie um build de depuração do seu app que use o
provedor de depuração do App Check em vez de um provedor de atestado real.
Usar o provedor de depuração no localhost
Para usar o provedor de depuração ao executar seu app em localhost (durante
o desenvolvimento, por exemplo), faça o seguinte:
No build de depuração, ative o modo de depuração definindo
self.FIREBASE_APPCHECK_DEBUG_TOKEN como true antes de inicializar
App Check. Exemplo:
self.FIREBASE_APPCHECK_DEBUG_TOKEN=true;firebase.appCheck().activate(/* site key or provider */);
Acesse seu app da Web localmente e abra a ferramenta para desenvolvedores do navegador. No
console de depuração, você verá um token:
AppCheck debug token: "123a4567-b89c-12d3-e456-789012345678". You will
need to safelist it in the Firebase console for it to work.
Na seção App Check
do console Firebase, escolha Gerenciar tokens de depuração no menu
flutuante do app. Em seguida, registre o token de depuração que você registrou na etapa
anterior.
Depois que você registrar o token, os serviços de back-end do Firebase o aceitarão como válido.
Como esse token permite acesso aos recursos do Firebase sem
um dispositivo válido, é fundamental mantê-lo particular. Não o confirme em um
repositório público. Se um token registrado for comprometido, revogue-o
imediatamente no Console do Firebase.
Esse token é armazenado localmente no navegador e será usado sempre que você usar
o app no mesmo navegador e na mesma máquina. Se você quiser usar o
token em outro navegador ou em outra máquina, defina
self.FIREBASE_APPCHECK_DEBUG_TOKEN como a string do token em vez de true.
Usar o provedor de depuração em um ambiente de CI
Para usar o provedor de depuração em um ambiente de integração contínua (CI), realize estas ações:
Na seção App Check
do console Firebase, escolha Gerenciar tokens de depuração no menu
flutuante do app. Em seguida, crie um novo token de depuração. Você precisará do token
na próxima etapa.
Como esse token permite acesso aos recursos do Firebase sem
um dispositivo válido, é fundamental mantê-lo particular. Não o confirme em um
repositório público. Se um token registrado for comprometido, revogue-o
imediatamente no Console do Firebase.
Adicione o token de depuração que você acabou de criar ao armazenamento de chaves seguras do seu sistema de CI
(por exemplo, secrets criptografados do GitHub Actions
ou variáveis criptografadas do Travis CI).
Se necessário, configure o sistema de CI para disponibilizar o token de depuração
no ambiente de CI como uma variável de ambiente. Dê um nome à variável
como APP_CHECK_DEBUG_TOKEN_FROM_CI.
No build de depuração, ative o modo de depuração definindo self.FIREBASE_APPCHECK_DEBUG_TOKEN como o valor da variável de ambiente do token de depuração antes de importar o App Check. Exemplo:
[null,null,["Última atualização 2025-08-23 UTC."],[],[],null,["If, after you have registered your app for App Check, you want to run your\napp in an environment that App Check would normally not classify as valid,\nsuch as locally during development, or from a continuous integration (CI)\nenvironment, you can create a debug build of your app that uses the\nApp Check debug provider instead of a real attestation provider.\n| **Warning:** The debug provider allows access to your Firebase resources from unverified devices. **Don't** use the debug provider in production builds of your app, and **don't** share your debug builds with untrusted parties.\n\nUse the debug provider on localhost\n\nTo use the debug provider while running your app from `localhost` (during\ndevelopment, for example), do the following:\n| **Warning:** *Do not* try to enable `localhost` debugging by adding `localhost` to reCAPTCHA's allowed domains. Doing so would allow anyone to run your app from their local machines!\n\n1. In your debug build, enable debug mode by setting\n `self.FIREBASE_APPCHECK_DEBUG_TOKEN` to `true` before you initialize\n App Check. For example:\n\n Web \n\n self.FIREBASE_APPCHECK_DEBUG_TOKEN = true;\n initializeAppCheck(app, { /* App Check options */ });\n\n Web \n\n self.FIREBASE_APPCHECK_DEBUG_TOKEN = true;\n firebase.appCheck().activate(/* site key or provider */);\n\n | **Note:** In Firebase Web SDK versions before v9, `self.FIREBASE_APPCHECK_DEBUG_TOKEN` is read at import time, and not at initialization/activation time. This required it to be set in `index.html` before the code bundle is loaded. To avoid this restriction, upgrade to v9.\n2. Visit your web app locally and open the browser's developer tool. In the\n debug console, you'll see a debug token:\n\n ```\n AppCheck debug token: \"123a4567-b89c-12d3-e456-789012345678\". You will\n need to safelist it in the Firebase console for it to work.\n ```\n3. In the [**App Check**](//console.firebase.google.com/project/_/appcheck) section\n of the Firebase console, choose **Manage debug tokens** from your app's\n overflow menu. Then, register the debug token you logged in the previous\n step.\n\nAfter you register the token, Firebase backend services will accept it as valid.\n\nBecause this token allows access to your Firebase resources without a\nvalid device, it is crucial that you keep it private. Don't commit it to a\npublic repository, and if a registered token is ever compromised, revoke it\nimmediately in the Firebase console.\n\nThis token is stored locally in your browser and will be used whenever you use\nyour app in the same browser on the same machine. If you want to use the\ntoken in another browser or on another machine, set\n`self.FIREBASE_APPCHECK_DEBUG_TOKEN` to the token string instead of `true`.\n\nUse the debug provider in a CI environment\n\nTo use the debug provider in a continuous integration (CI) environment, do the following:\n\n1. In the [**App Check**](//console.firebase.google.com/project/_/appcheck) section\n of the Firebase console, choose **Manage debug tokens** from your app's\n overflow menu. Then, create a new debug token. You'll need the token in the\n next step.\n\n Because this token allows access to your Firebase resources without\n a valid device, it is crucial that you keep it private. Don't commit it to a\n public repository, and if a registered token is ever compromised, revoke it\n immediately in the Firebase console.\n\n2. Add the debug token you just created to your CI system's secure key store\n (for example, GitHub Actions' [encrypted secrets](https://docs.github.com/en/actions/reference/encrypted-secrets)\n or Travis CI's [encrypted variables](https://docs.travis-ci.com/user/environment-variables/#defining-encrypted-variables-in-travisyml)).\n\n3. If necessary, configure your CI system to make your debug token available\n within the CI environment as an environment variable. Name the variable\n something like `APP_CHECK_DEBUG_TOKEN_FROM_CI`.\n\n4. In your debug build, enable debug mode by setting\n `self.FIREBASE_APPCHECK_DEBUG_TOKEN` to the value of the debug token\n environment variable before you import App Check. For example:\n\n Web \n\n self.FIREBASE_APPCHECK_DEBUG_TOKEN = process.env.APP_CHECK_DEBUG_TOKEN_FROM_CI;\n initializeAppCheck(app, { /* App Check options */ });\n\n Web \n\n self.FIREBASE_APPCHECK_DEBUG_TOKEN = process.env.APP_CHECK_DEBUG_TOKEN_FROM_CI;\n firebase.appCheck().activate(/* site key or provider */);\n\nWhen your app runs in a CI environment, Firebase backend services will accept\nthe token it sends as valid."]]
