Iniziare a utilizzare App Check con reCAPTCHA Enterprise nelle app web

Questa pagina mostra come abilitare App Check in un'app web utilizzando il provider reCAPTCHA Enterprise. Quando attivi App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Consulta una panoramica di questa funzionalità.

Tieni presente che App Check utilizza chiavi di sito basate sul punteggio di reCAPTCHA Enterprise, che lo rendono invisibile agli utenti. Il fornitore di reCAPTCHA Enterprise non richiederà mai agli utenti di risolvere una richiesta di verifica.

Se vuoi utilizzare App Check con il tuo provider personalizzato, consulta Implementare un provider App Check personalizzato.

1. Configura il progetto Firebase

  1. Aggiungi Firebase al tuo progetto JavaScript se non l'hai ancora fatto.

  2. Apri la sezione reCAPTCHA Enterprise della console Cloud e procedi nel seguente modo:

    1. Se ti viene chiesto di abilitare l'API reCAPTCHA Enterprise, fallo.
    2. Crea una chiave di tipo Sito web. Devi specificare i domini su cui ospiti la tua app web. Lascia l'opzione "Utilizza la sfida della casella di controllo" deselezionata.

  3. Registra le tue app per utilizzare App Check con il provider reCAPTCHA Enterprise nella sezione App Check della console Firebase. Dovrai fornire la chiave del sito che hai ottenuto nel passaggio precedente.

    In genere devi registrare tutte le app del progetto, perché una volta attivata l'applicazione per un prodotto Firebase, solo le app registrate potranno accedere alle risorse di backend del prodotto.

  4. (Facoltativo): nelle impostazioni di registrazione dell'app, imposta una durata (TTL) personalizzata per i token App Check emessi dal fornitore. Puoi impostare il TTL su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando modifichi questo valore, tieni presente i seguenti compromessi:

    • Sicurezza: i TTL più brevi offrono una maggiore sicurezza, perché riducono il periodo di tempo in cui un token compromesso o intercettato può essere utilizzato in modo illecito da un malintenzionato.
    • Rendimento: TTL più brevi significano che la tua app eseguirà l'attestazione più spesso. Poiché il processo di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguito, un TTL breve può influire sulle prestazioni dell'app.
    • Quota e costi: TTL più brevi e riattestazione frequente esauriscono la quota più rapidamente e, per i servizi a pagamento, possono costare di più. Consulta Quote e limiti.

    Il TTL predefinito di 1 ora è ragionevole per la maggior parte delle app. Tieni presente che la libreria App Check aggiorna i token a circa metà della durata TTL.

2. Aggiungere la libreria App Check all'app

Aggiungi Firebase alla tua app web, se non l'hai già fatto. Assicurati di importare la libreria App Check.

3. Inizializza App Check

Aggiungi il seguente codice di inizializzazione alla tua applicazione prima di accedere a qualsiasi servizio Firebase. Dovrai trasmettere la chiave di sito reCAPTCHA Enterprise, che hai creato in Cloud Console, a activate().

Web

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check";

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

Passaggi successivi

Una volta installata la libreria App Check nell'app, esegui il deployment.

L'app client aggiornata inizierà a inviare token App Check insieme a ogni richiesta a Firebase, ma i prodotti Firebase non richiederanno la validità dei token finché non attivi l'applicazione nella sezione App Check della console Firebase.

Monitorare le metriche e attivare l'applicazione

Prima di attivare l'applicazione, però, devi assicurarti che questa operazione non interrompa l'attività degli utenti legittimi esistenti. D'altra parte, se noti un utilizzo sospetto delle risorse della tua app, potresti voler attivare l'applicazione prima.

Per prendere questa decisione, puoi esaminare le metriche App Check per i servizi che utilizzi:

Attiva l'applicazione di App Check

Quando avrai compreso l'impatto di App Check sui tuoi utenti e sarai pronto per procedere, potrai attivare l'applicazione di App Check:

Utilizzare App Check negli ambienti di debug

Se, dopo aver registrato la tua app per App Check, vuoi eseguirla in un ambiente che normalmente App Check non classificherebbe come valido, ad esempio localmente durante lo sviluppo o da un ambiente di integrazione continua (CI), puoi creare una build di debug della tua app che utilizza il provider di debug App Check anziché un vero provider di attestazione.

Vedi Utilizzare App Check con il provider di debug nelle app web.

Nota sul costo

App Check crea una valutazione per tuo conto per convalidare il token di risposta dell'utente ogni volta che un browser che esegue la tua app web aggiorna il token App Check. Al tuo progetto verrà addebitato un costo per ogni valutazione creata al di sopra della quota senza costi. Per i dettagli, consulta la pagina Prezzi di reCAPTCHA.

Per impostazione predefinita, la tua app web aggiornerà questo token due volte ogni ora. Per controllare la frequenza con cui la tua app aggiorna i token App Check (e quindi la frequenza con cui vengono create nuove valutazioni), configura il TTL.