Questa pagina mostra come abilitare App Check in un'app Web, utilizzando il provider reCAPTCHA Enterprise. Quando abiliti App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Visualizza una panoramica di questa funzione.
reCAPTCHA Enterprise è un servizio a pagamento con quota gratuita. App Check supporta anche reCAPTCHA v3 , un servizio gratuito. Per conoscere le differenze tra reCAPTCHA v3 e reCAPTCHA Enterprise, vedere il confronto delle funzionalità .
Tieni presente che App Check utilizza chiavi del sito basate su punteggio reCAPTCHA Enterprise, che lo rendono invisibile agli utenti. Il provider reCAPTCHA Enterprise non richiederà agli utenti di risolvere una sfida in qualsiasi momento.
Se desideri utilizzare App Check con il tuo provider personalizzato, consulta Implementare un provider App Check personalizzato .
1. Configura il tuo progetto Firebase
Aggiungi Firebase al tuo progetto JavaScript se non lo hai già fatto.
Apri la sezione reCAPTCHA Enterprise della console Cloud e procedi come segue:
- Se ti viene chiesto di abilitare l'API reCAPTCHA Enterprise, fallo.
- Creare una chiave di tipo Website . Dovrai specificare i domini su cui ospiti la tua app web. Lascia deselezionata l'opzione "Usa verifica casella di controllo" .
Registra le tue app per utilizzare App Check con il provider reCAPTCHA Enterprise nella sezione App Check della console Firebase. Dovrai fornire la chiave del sito che hai ottenuto nel passaggio precedente.
Di solito devi registrare tutte le app del tuo progetto, perché una volta abilitata l'applicazione per un prodotto Firebase, solo le app registrate saranno in grado di accedere alle risorse di back-end del prodotto.
Facoltativo : nelle impostazioni di registrazione dell'app, imposta un time-to-live (TTL) personalizzato per i token App Check emessi dal provider. Puoi impostare il TTL su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando si modifica questo valore, prestare attenzione ai seguenti compromessi:
- Sicurezza: i TTL più brevi forniscono una maggiore sicurezza, perché riducono la finestra in cui un token trapelato o intercettato può essere abusato da un utente malintenzionato.
- Prestazioni: TTL più brevi indicano che l'app eseguirà l'attestazione con maggiore frequenza. Poiché il processo di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguito, un TTL breve può influire sulle prestazioni dell'app.
- Quota e costo: TTL più brevi e frequenti riattestazioni esauriscono la tua quota più velocemente e, per i servizi a pagamento, potenzialmente costano di più. Vedere Quote e limiti .
Il TTL predefinito di 1 ora è ragionevole per la maggior parte delle app. Tieni presente che la libreria App Check aggiorna i token a circa metà della durata TTL.
2. Aggiungi la libreria App Check alla tua app
Aggiungi Firebase alla tua app web se non l'hai già fatto. Assicurati di importare la libreria App Check.
3. Inizializzare App Check
Aggiungi il seguente codice di inizializzazione alla tua applicazione prima di accedere a qualsiasi servizio Firebase. Dovrai passare la tua chiave del sito reCAPTCHA Enterprise, che hai creato nella console Cloud, per activate()
.
Web modular API
import { initializeApp } from "firebase/app"; import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check"; const app = initializeApp({ // Your Firebase configuration object. }); // Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise // site key and pass it to initializeAppCheck(). const appCheck = initializeAppCheck(app, { provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */), isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh. });
Web namespaced API
firebase.initializeApp({ // Your Firebase configuration object. }); // Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise // site key and pass it to activate(). const appCheck = firebase.appCheck(); appCheck.activate( new firebase.appCheck.ReCaptchaEnterpriseProvider( /* reCAPTCHA Enterprise site key */ ), true // Set to true to allow auto-refresh. );
Prossimi passi
Una volta installata la libreria App Check nella tua app, distribuiscila.
L'app client aggiornata inizierà a inviare token App Check insieme a ogni richiesta che effettua a Firebase, ma i prodotti Firebase non richiederanno che i token siano validi fino a quando non abiliti l'applicazione nella sezione App Check della console Firebase.
Monitora le metriche e abilita l'applicazione
Prima di abilitare l'applicazione, tuttavia, è necessario assicurarsi che ciò non interrompa gli utenti legittimi esistenti. D'altra parte, se riscontri un utilizzo sospetto delle risorse della tua app, potresti voler abilitare l'applicazione prima.
Per aiutarti a prendere questa decisione, puoi esaminare le metriche di App Check per i servizi che utilizzi:
- Monitora le metriche delle richieste di App Check per Realtime Database, Cloud Firestore, Cloud Storage e Autenticazione (beta).
- Monitora le metriche delle richieste di App Check per Cloud Functions .
Abilita l'applicazione di App Check
Quando capisci in che modo App Check influirà sui tuoi utenti e sei pronto a procedere, puoi abilitare l'applicazione di App Check:
- Abilita l'applicazione di App Check per Realtime Database, Cloud Firestore, Cloud Storage e Autenticazione (beta).
- Abilita l'applicazione di App Check per Cloud Functions .
Usa App Check negli ambienti di debug
Se, dopo aver registrato la tua app per App Check, desideri eseguirla in un ambiente che normalmente App Check non classificherebbe come valido, ad esempio localmente durante lo sviluppo o da un ambiente di integrazione continua (CI), puoi creare una build di debug della tua app che usa il provider di debug di App Check invece di un vero provider di attestazione.
Vedere Usare App Check con il provider di debug nelle app Web .
Nota sul costo
App Check crea una valutazione per tuo conto per convalidare il token di risposta dell'utente ogni volta che un browser che esegue la tua app Web aggiorna il proprio token App Check. Il tuo progetto verrà addebitato per ogni valutazione creata al di sopra della quota gratuita. Consulta i prezzi di reCAPTCHA Enterprise per i dettagli.
Per impostazione predefinita, la tua app Web aggiornerà questo token due volte ogni ora . Per controllare la frequenza con cui la tua app aggiorna i token App Check (e quindi la frequenza con cui vengono create nuove valutazioni), configura il TTL .