웹 앱에서 reCAPTCHA Enterprise로 앱 체크 사용 시작하기

이 페이지에서는 reCAPTCHA Enterprise 제공자를 사용하여 웹 앱에서 App Check를 사용 설정하는 방법을 보여줍니다. App Check를 사용 설정하면 사용자의 앱만 프로젝트의 백엔드 리소스에 액세스할 수 있습니다. 이 기능의 개요를 참조하세요.

App Check는 사용자에게 표시되지 않도록 하는 reCAPTCHA Enterprise 점수 기반 사이트 키를 사용합니다. reCAPTCHA Enterprise 제공자는 사용자에게 보안 확인을 요구하지 않습니다.

사용 사례에 App Check로 구현되지 않은 reCAPTCHA Enterprise 기능이 필요한 경우 또는 자체 커스텀 제공자와 함께 App Check를 사용하려면 커스텀 App Check 제공자 구현을 참조하세요.

1. Firebase 프로젝트 설정

아직 추가하지 않았다면 JavaScript 프로젝트에 Firebase를 추가합니다.
Cloud 콘솔의 reCAPTCHA Enterprise 섹션을 열고 다음을 수행합니다.
1. reCAPTCHA Enterprise API를 사용 설정하라는 메시지가 표시되면 사용 설정합니다.
2. 웹사이트 유형 키를 만듭니다. 웹 앱을 호스팅할 도메인을 지정해야 합니다. '체크박스 챌린지 사용' 옵션을 선택 해제한 상태로 둡니다.
Firebase Console의 App Check 섹션에서 reCAPTCHA Enterprise 제공자에 App Check를 사용하도록 앱을 등록합니다. 이전 단계에서 가져온 사이트 키를 제공해야 합니다.

Firebase 제품에 적용을 사용 설정하면 등록된 앱만 제품의 백엔드 리소스에 액세스할 수 있으므로 일반적으로 프로젝트의 모든 앱을 등록해야 합니다.
선택사항: 앱 등록 설정에서 제공자가 발급한 App Check 토큰의 커스텀 TTL(수명)을 설정합니다. TTL은 30분에서 7일 사이의 값으로 설정할 수 있습니다. 이 값을 변경할 때는 다음 장단점을 고려하세요.
- 보안: TTL이 짧을수록 유출되거나 가로채인 토큰이 공격자에 의해 악용될 수 있는 기간이 줄어들므로 보안이 강화됩니다.
- 성능: TTL이 짧을수록 앱에서 증명을 더 자주 수행합니다. 앱 증명 프로세스는 실행될 때마다 네트워크 요청에 지연 시간이 추가되므로 짧은 TTL은 앱 성능에 영향을 줄 수 있습니다.
- 할당량 및 비용: 더 짧은 TTL과 빈번한 재증명으로 인해 할당량이 더 빨리 소진되며, 유료 서비스의 경우 더 많은 비용이 발생할 수 있습니다. 할당량 및 한도를 참조하세요.
대부분의 앱에 기본 TTL인 1시간이 적합합니다. App Check 라이브러리는 TTL 기간의 약 절반이 지났을 때 토큰을 새로고침합니다.

고급 설정 구성(선택사항)

사용자가 웹 앱을 방문하면 reCAPTCHA Enterprise는 사용자 상호작용의 위험도를 평가하고 0.1씩 증가하는 0.0~1.0 사이의 점수를 반환합니다. 점수 1.0은 상호작용의 위험 수준이 낮고 적합 가능성이 매우 큼을 나타내고 0.0은 상호작용의 위험 수준이 높고 허위 가능성이 있음을 나타냅니다. App Check를 사용하면 앱 위험 기준점을 구성하여 이 위험에 대한 허용 범위를 조정할 수 있습니다.

대부분의 사용 사례에서는 기본 기준값인 0.5를 사용하는 것이 좋습니다. 사용 사례에 조정이 필요한 경우 각 웹 앱의 Firebase Console에 있는 App Check 섹션에서 구성할 수 있습니다.

세부정보

App Check는 구성된 앱 위험 기준점을 사용자 상호작용이 적법한 것으로 간주되는 데 필요한 최소 reCAPTCHA Enterprise 점수로 사용합니다. 구성된 기준점보다 엄격하게 낮은 모든 reCAPTCHA Enterprise 점수는 거부됩니다. 앱 위험 기준점을 조정할 때는 다음 사항에 유의하세요.

사용 가능한 11개의 reCAPTCHA Enterprise 점수 등급 중 프로젝트에 Google Cloud Billing 계정을 추가하기 전에 사용할 수 있는 점수 등급은 0.1, 0.3, 0.7, 0.9의 4개 등급입니다. 이 기간 동안 App Check에서는 앱 위험 기준값 0.1, 0.3, 0.5, 0.7, 0.9만 허용합니다. 대부분의 사용 사례에서는 앱 위험 기준값 0.5가 여전히 권장됩니다.
- 11개의 reCAPTCHA Enterprise 점수 수준을 모두 사용 설정하려면 프로젝트에 Google Cloud Billing 계정을 추가합니다. 한 가지 방법은 Blaze 요금제로 업그레이드하는 것입니다. 이렇게 하면 App Check에서 0.0~1.0 사이의 앱 위험 기준값을 0.1 단위로 구성할 수 있습니다.
  
  참고: Google Cloud Billing 계정을 프로젝트에 추가하면 프로젝트에 대한 자동 보안 검토가 트리거됩니다. 자세한 내용은 reCAPTCHA Enterprise 문서를 참조하세요.
웹 앱의 높고 낮은 reCAPTCHA Enterprise 점수 분포를 모니터링하려면 Google Cloud 콘솔의 reCAPTCHA Enterprise 페이지로 이동하여 웹 앱에서 사용하는 사이트 키를 선택합니다.
앱 위험 허용 범위가 낮은 경우 슬라이더를 왼쪽으로 이동하여 앱 위험 기준점을 높입니다.
- 이 설정은 높은 신뢰도 기준점을 충족하지 않는 정당한 사용자의 액세스도 거부할 수 있으므로 1.0 값은 권장되지 않습니다.
경고: 앱 위험 기준점을 높이기 전에 적법한 사용자의 서비스 중단을 방지하기 위해 현재 시행 중인 모든 서비스에 대해 앱 체크 보호를 일시적으로 시행하지 않는 것이 좋습니다. 시행을 재개하기 전에 앱 체크 요청 측정항목을 모니터링하여 트래픽이 중단되지 않았는지 확인해야 합니다.
앱 위험 허용 범위가 높은 경우 슬라이더를 오른쪽으로 이동하여 앱 위험 기준점을 낮춥니다.
- 이 설정은 악용 방지를 사용 중지하므로 0.0 값은 권장되지 않습니다.

자세한 내용은 reCAPTCHA Enterprise 문서를 참조하세요.

2. 앱에 App Check 라이브러리 추가

아직 추가하지 않은 경우 웹 앱에 Firebase를 추가합니다. App Check 라이브러리를 가져와야 합니다.

3. App Check 초기화

Firebase 서비스에 액세스하기 전에 애플리케이션에 다음 초기화 코드를 추가합니다. Cloud 콘솔에서 만든 reCAPTCHA Enterprise 사이트 키를 activate()에 전달해야 합니다.

Web

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check";

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

다음 단계

App Check 라이브러리가 앱에 설치되면 배포합니다.

업데이트된 클라이언트 앱이 Firebase에 전송하는 모든 요청과 함께 App Check 토큰을 보내기 시작하지만 Firebase 제품에서는 Firebase Console의 App Check 섹션에서 적용을 사용 설정할 때까지 토큰이 유효하지 않아도 됩니다.

측정항목 모니터링 및 적용 사용 설정

적용을 사용 설정하기 전에 먼저 이렇게 해도 기존의 정당한 사용자에게 불편을 야기하지 않는지 확인해야 합니다. 반면에 앱 리소스 사용이 의심스러워 보이면 적용을 더 빠르게 사용 설정하는 것이 좋습니다.

사용 중인 서비스의 App Check 측정항목을 확인하면 적용 여부에 대한 판단을 내리는 데 도움이 됩니다.

Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, iOS용 Google ID, Maps JavaScript API, Places API(신규)의 App Check 요청 측정항목을 모니터링합니다.
Cloud Functions에 대한 App Check 요청 측정항목을 모니터링합니다.

App Check 적용 사용 설정

App Check가 사용자에게 미치는 영향을 이해하고 계속 진행할 준비가 되면 App Check 적용을 사용 설정할 수 있습니다.

Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, iOS용 Google ID, Maps JavaScript API, Places API(신규)에 App Check 적용을 사용 설정합니다.
Cloud Functions에 App Check 적용을 사용 설정합니다.

디버그 환경에서 App Check 사용

App Check에 앱을 등록한 후 App Check가 일반적으로 유효한 것으로 분류하지 않는 환경에서 앱을 실행하려는 경우(예: 개발 중 로컬에서 또는 지속적 통합(CI) 환경에서) 실제 증명 제공자 대신 App Check 디버그 제공자를 사용하는 앱의 디버그 빌드를 만들 수 있습니다.

웹 앱에서 디버그 제공자와 함께 App Check 사용을 참조하세요.

비용 참고사항

App Check는 웹 앱을 실행하는 브라우저가 App Check 토큰을 새로고침할 때마다 사용자의 응답 토큰의 유효성을 검증하는 평가를 만듭니다. 무료 할당량을 초과하여 생성된 각 평가에 대한 요금이 프로젝트에 청구됩니다. 자세한 내용은 reCAPTCHA 가격 책정을 참조하세요.

기본적으로 웹 앱은 1시간마다 토큰을 두 번 새로고침합니다. 앱이 App Check 토큰을 새로고침하는 빈도(및 새로운 평가가 생성되는 빈도)를 제어하려면 TTL을 구성하세요.