获取我们在 Firebase 峰会上发布的所有信息,了解 Firebase 可如何帮助您加快应用开发速度并满怀信心地运行应用。了解详情

Inizia a utilizzare App Check con reCAPTCHA v3 nelle app Web

Questa pagina mostra come abilitare App Check in un'app Web, utilizzando il provider reCAPTCHA v3 integrato. Quando abiliti App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Vedi una panoramica di questa funzione.

reCAPTCHA v3 è un servizio gratuito. App Check supporta anche reCAPTCHA Enterprise , un servizio a pagamento con una quota gratuita. Per conoscere le differenze tra reCAPTCHA v3 e reCAPTCHA Enterprise, consulta il confronto delle funzionalità .

Tieni presente che reCAPTCHA v3 è invisibile agli utenti. Il provider reCAPTCHA v3 non richiederà agli utenti di risolvere una sfida in qualsiasi momento. Consulta la documentazione di reCAPTCHA v3 .

Se desideri utilizzare App Check con il tuo provider personalizzato, consulta Implementare un provider di App Check personalizzato .

1. Configura il tuo progetto Firebase

  1. Aggiungi Firebase al tuo progetto JavaScript se non l'hai già fatto.

  2. Registra il tuo sito per reCAPTCHA v3 e ottieni la tua chiave del sito reCAPTCHA v3 e la chiave segreta.

  3. Registra le tue app per utilizzare App Check con il provider reCAPTCHA nella sezione App Check della console Firebase. Dovrai fornire la chiave segreta che hai ottenuto nel passaggio precedente.

    Di solito devi registrare tutte le app del tuo progetto, perché una volta abilitata l'applicazione per un prodotto Firebase, solo le app registrate potranno accedere alle risorse di back-end del prodotto.

  4. Facoltativo : nelle impostazioni di registrazione dell'app, imposta un TTL (Time-to-Live) personalizzato per i token App Check emessi dal provider. È possibile impostare il TTL su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando si modifica questo valore, prestare attenzione ai seguenti compromessi:

    • Sicurezza: TTL più brevi forniscono una maggiore sicurezza, perché riduce la finestra in cui un token trapelato o intercettato può essere abusato da un utente malintenzionato.
    • Prestazioni: TTL più brevi significano che la tua app eseguirà l'attestazione più frequentemente. Poiché il processo di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguita, un TTL breve può influire sulle prestazioni dell'app.
    • Quota e costi: TTL più brevi e frequenti riattestazioni esauriscono la tua quota più velocemente e, per i servizi a pagamento, potenzialmente costano di più. Vedere Quote e limiti .

    Il TTL predefinito di 1 giorno è ragionevole per la maggior parte delle app. Tieni presente che la libreria App Check aggiorna i token a circa la metà della durata del TTL.

2. Aggiungi la libreria App Check alla tua app

Aggiungi Firebase alla tua app web se non l'hai già fatto. Assicurati di importare la libreria App Check.

3. Inizializza il controllo dell'app

Aggiungi il seguente codice di inizializzazione alla tua applicazione, prima di accedere a qualsiasi servizio Firebase. Dovrai passare la tua chiave del sito reCAPTCHA , che hai creato nella console reCAPTCHA, per activate() .

Web version 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck, ReCaptchaV3Provider } = require("firebase/app-check");

const app = initializeApp({
  // Your firebase configuration object
});

// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true
});

Web version 8

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
appCheck.activate(
  'abcdefghijklmnopqrstuvwxy-1234567890abcd',

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);

Prossimi passi

Una volta installata la libreria App Check nell'app, distribuiscila.

L'app client aggiornata inizierà a inviare token App Check insieme a ogni richiesta effettuata a Firebase, ma i prodotti Firebase non richiederanno che i token siano validi finché non abiliti l'applicazione nella sezione App Check della console Firebase.

Monitora le metriche e abilita l'applicazione

Prima di abilitare l'applicazione, tuttavia, dovresti assicurarti che ciò non interrompa gli utenti legittimi esistenti. D'altra parte, se vedi un uso sospetto delle risorse della tua app, potresti voler abilitare l'applicazione prima.

Per aiutare a prendere questa decisione, puoi guardare le metriche di App Check per i servizi che utilizzi:

Abilita l'applicazione di App Check

Quando capisci in che modo App Check influirà sui tuoi utenti e sei pronto per procedere, puoi abilitare l'applicazione di App Check:

Usa App Check negli ambienti di debug

Se, dopo aver registrato la tua app per App Check, desideri eseguire la tua app in un ambiente che App Check normalmente non classificherebbe come valido, ad esempio in locale durante lo sviluppo o da un ambiente di integrazione continua (CI), puoi creare una build di debug della tua app che usa il provider di debug di App Check invece di un vero provider di attestazione.

Vedere Utilizzare App Check con il provider di debug nelle app Web .