Questa pagina mostra come attivare App Check in un'app web, utilizzando Provider reCAPTCHA Enterprise. Se attivi App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Consulta la panoramica di questa funzionalità.
Tieni presente che App Check utilizza chiavi di sito basate sul punteggio di reCAPTCHA Enterprise, che rendilo invisibile agli utenti. Il fornitore di reCAPTCHA Enterprise non richiede agli utenti di risolvere una sfida in nessun momento.
Se vuoi utilizzare App Check con il tuo provider personalizzato, consulta Implementa un provider App Check personalizzato.
1. Configura il progetto Firebase
Aggiungi Firebase al tuo progetto JavaScript, se non lo hai già fatto.
Apri reCAPTCHA Enterprise della console Cloud e segui questi passaggi:
- Se ti viene chiesto di abilitare l'API reCAPTCHA Enterprise, fallo.
- Crea una chiave di tipo Sito web. Dovrai specificare i domini su cui a ospitare la tua app web. Lascia la casella di controllo "Utilizza la verifica con caselle di controllo" opzione deselezionato.
Registra le tue app per l'utilizzo di App Check con il fornitore reCAPTCHA Enterprise nella sezione App Check della console Firebase. Dovrai fornire la chiave del sito che hai ottenuto nel passaggio precedente.
In genere devi registrare tutte le app del tuo progetto, perché, una volta attivata l'applicazione delle norme per un prodotto Firebase, solo le app registrate potranno accedere alle risorse di backend del prodotto.
Facoltativo: nelle impostazioni di registrazione dell'app, imposta una durata personalizzata (TTL) per i token App Check emessi dal provider. Puoi impostare il TTL su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando modifichi questo valore, tieni conto dei seguenti compromessi:
- Sicurezza: i TTL più brevi garantiscono una sicurezza più efficace, in quanto riducono finestra in cui un token divulgato o intercettato può essere utilizzato in modo illecito da l'autore dell'attacco.
- Rendimento: TTL più brevi indicano che l'app eseguirà l'attestazione maggiormente spesso. Poiché la procedura di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguita, un TTL breve può influire sul rendimento della tua app.
- Quota e costo: i TTL più brevi e le attestazioni ripetute frequentemente esauriscono la quota più rapidamente e, per i servizi a pagamento, possono costare di più. Consulta la sezione Quote e limiti.
Il TTL predefinito di 1 ora è ragionevole per la maggior parte delle app. Tieni presente che la raccolta App Check viene aggiornata a metà della durata TTL.
2. Aggiungere la raccolta App Check all'app
Se non l'hai ancora fatto, aggiungi Firebase alla tua app web. Assicurati di importare la libreria App Check.
3. Inizializza App Check
Aggiungi il seguente codice di inizializzazione alla tua applicazione prima di accedere a qualsiasi servizio Firebase. Dovrai passare la chiave di sito reCAPTCHA Enterprise,
che hai creato nella console Cloud, a activate().
Web
import { initializeApp } from "firebase/app"; import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check"; const app = initializeApp({ // Your Firebase configuration object. }); // Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise // site key and pass it to initializeAppCheck(). const appCheck = initializeAppCheck(app, { provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */), isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh. });
Web
firebase.initializeApp({ // Your Firebase configuration object. }); // Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise // site key and pass it to activate(). const appCheck = firebase.appCheck(); appCheck.activate( new firebase.appCheck.ReCaptchaEnterpriseProvider( /* reCAPTCHA Enterprise site key */ ), true // Set to true to allow auto-refresh. );
Passaggi successivi
Dopo aver installato la libreria App Check nella tua app, esegui il deployment.
L'app client aggiornata inizierà a inviare token App Check con ogni richiesta inviata a Firebase, ma i prodotti Firebase non richiederanno che i token siano validi finché non attivi l'applicazione forzata nella sezione App Check della Console Firebase.
Monitora le metriche e abilita l'applicazione forzata
Tuttavia, prima di attivare l'applicazione, devi assicurarti che questa operazione non causi interruzioni per gli utenti legittimi esistenti. D'altra parte, se noti un uso sospetto delle risorse della tua app, ti consigliamo di attivare l'applicazione delle norme in precedenza.
Per aiutarti a prendere questa decisione, puoi esaminare le metriche di App Check per servizi che utilizzi:
- Monitora App Check metriche delle richieste per Realtime Database, Cloud Firestore, Cloud Storage, Firebase Data Connect (anteprima), Authentication (beta) e Vertex AI in Firebase (anteprima).
- Monitora le metriche delle richieste App Check per Cloud Functions.
Attiva l'applicazione forzata di App Check
Quando avrai compreso in che modo App Check influirà sui tuoi utenti e sarai pronto a procedere, puoi attivare l'applicazione forzata di App Check:
- Abilita l'applicazione di App Check per Realtime Database, Cloud Firestore, Cloud Storage, Firebase Data Connect (anteprima), Authentication (beta) e Vertex AI in Firebase (anteprima).
- Attiva l'applicazione forzata di App Check per Cloud Functions.
Utilizzare App Check in ambienti di debug
Se, dopo aver registrato la tua app per App Check, vuoi eseguire in un ambiente che App Check normalmente non classificherebbe come valida, ad esempio localmente durante lo sviluppo o da un'integrazione continua (CI) puoi creare una build di debug della tua app che utilizza Provider di debug App Check anziché un provider di attestazioni reale.
Vedi Utilizzare App Check con il provider di debug nelle app web.
Nota sui costi
App Check crea una valutazione per tuo conto per convalidare la sua token di risposta ogni volta che un browser che esegue l'app web aggiorna App Check token. Al tuo progetto verranno addebitati i costi di ogni valutazione creata la quota senza costi aggiuntivi. Vedi i prezzi di reCAPTCHA per maggiori dettagli.
Per impostazione predefinita, l'app web aggiorna questo token due volte ogni 1 ora. A controlla la frequenza di aggiornamento dei token App Check da parte dell'app (e, di conseguenza, anche spesso vengono create nuove valutazioni), configurane il TTL.