本页介绍了如何使用 reCAPTCHA Enterprise 提供程序在 Web 应用中启用 App Check。启用 App Check 有助于确保只有您的应用可以访问项目的 Firebase 资源。请查看此功能的概览。
reCAPTCHA Enterprise 是一项付费服务,但提供免费配额。App Check 还支持 reCAPTCHA v3,这是一项免费的服务。 如需了解 reCAPTCHA v3 与 reCAPTCHA Enterprise 之间的区别,请参阅功能比较。
请注意,App Check 使用基于 reCAPTCHA Enterprise 分数的网站密钥,因此对用户来说是不可见的。reCAPTCHA Enterprise 提供方永远不会要求用户进行验证。
如果您希望将 App Check 与自己的自定义提供程序搭配使用,请参阅实现自定义 App Check 提供程序。
1. 设置您的 Firebase 项目
将 Firebase 添加到您的 JavaScript 项目(如果尚未添加)。
打开 Cloud 控制台的 reCAPTCHA Enterprise 部分,并执行以下操作:
- 如果系统提示您启用 reCAPTCHA Enterprise API,请执行此操作。
- 创建一个网站类型的密钥。您需要指定用于托管 Web 应用的网域。请勿选择“使用复选框验证”选项。
在 Firebase 控制台的 App Check 部分中注册您的应用,以便将 App Check 与 reCAPTCHA Enterprise 提供程序搭配使用。您需要提供上一步中获取的网站密钥。
您通常需要注册项目的所有应用,因为在您为 Firebase 产品启用强制执行后,只有注册的应用才能访问产品的后端资源。
可选:在应用注册设置中,为提供程序颁发的 App Check 令牌设置自定义存留时间 (TTL)。您可以将 TTL 设置为 30 分钟到 7 天之间的任何值。更改此值时,请注意权衡以下几个方面:
- 安全性:较短的 TTL 可以提供更强的安全性,因为它可以缩短攻击者可能滥用已泄露或者已被拦截的令牌的时长。
- 性能:较短的 TTL 意味着您的应用将更频繁地执行证明操作。由于每次执行应用证明过程都会增加网络请求的延迟时间,因此短 TTL 可能会影响应用的性能。
- 配额和费用:较短的 TTL 和频繁的重新证明会更快地耗尽您的配额,而对于付费服务,费用可能更高。请参阅配额和限制。
对于大多数应用而言,默认的 TTL(1 小时)比较合理。请注意,App Check 库会在达到 TTL 时长约一半时刷新令牌。
2.将 App Check 库添加到您的应用
将 Firebase 添加到您的 Web 应用(如果尚未添加)。请务必导入 App Check 库。
3.初始化 App Check
在访问任何 Firebase 服务之前,请将以下初始化代码添加到您的应用中。您需要将您在 Cloud 控制台中创建的 reCAPTCHA Enterprise 网站密钥传递给 activate()。
Web version 9
const { initializeApp } = require("firebase/app");
const { initializeAppCheck, ReCaptchaEnterpriseProvider } = require("firebase/app-check");
const app = initializeApp({
// Your Firebase configuration object.
});
// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});
Web version 8
firebase.initializeApp({
// Your Firebase configuration object.
});
// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
new firebase.appCheck.ReCaptchaEnterpriseProvider(
/* reCAPTCHA Enterprise site key */
),
true // Set to true to allow auto-refresh.
);
后续步骤
将 App Check 库安装到您的应用中之后,请部署该应用。
更新后的客户端应用会开始将 App Check 令牌随其发出的每个请求一起发送到 Firebase;不过,您在 Firebase 控制台的 App Check 部分中启用强制执行之前,Firebase 产品并不会要求令牌必须有效。
监控指标并启用强制执行
不过,在启用强制执行之前,您应该确保这样做不会干扰现有的合法用户。另一方面,如果您发现自己的应用资源被非法使用,建议您尽快启用强制执行。
为帮助您做出相关决策,建议您查看自己使用的服务的 App Check 指标:
- 监控 Realtime Database、Cloud Firestore、Cloud Storage 和 Authentication(Beta 版)的 App Check 请求指标。
- 监控 Cloud Functions 的 App Check 请求指标。
启用 App Check 强制执行
在了解 App Check 对用户有何影响并为后续操作做好准备之后,您便可以启用 App Check 强制执行:
- 为 Realtime Database、Cloud Firestore、Cloud Storage 和 Authentication(Beta 版)启用 App Check 强制执行。
- 为 Cloud Functions 启用 App Check 强制执行。
在调试环境中使用 App Check
为 App Check 注册应用后,如果您希望在 App Check 通常不会归类为有效提供程序的环境(例如开发期间的本地环境)或持续集成 (CI) 环境中运行您的应用,可以创建应用的调试 build,该 build 使用 App Check 调试提供程序,而不是真正的证明提供程序。
请参阅将 App Check 与调试提供程序搭配使用(Web 应用)。
费用说明
每次运行 Web 应用的浏览器刷新其 App Check 令牌时,App Check 都会代表您创建评估,以验证用户的响应令牌。对于超出免费配额的每项创建的评估,我们会对您的项目收费。请参阅 reCAPTCHA Enterprise 价格了解详情。
默认情况下,您的 Web 应用每 1 小时会刷新此令牌两次。如需控制应用刷新 App Check 令牌的频率(以及新评估的创建频率),请配置其 TTL。