Questa pagina mostra come attivare App Check in un'app web utilizzando il fornitore reCAPTCHA v3 integrato. Se attivi App Check, contribuisci ad assicurarti che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Consulta un Panoramica di questa funzionalità.
Tieni presente che reCAPTCHA v3 è invisibile agli utenti. Il provider reCAPTCHA v3 non richiedono agli utenti di risolvere una sfida in qualsiasi momento. Consulta le documentazione di reCAPTCHA v3.
Se vuoi utilizzare App Check con il tuo provider personalizzato, consulta Implementa un provider App Check personalizzato.
1. Configura il progetto Firebase
Aggiungi Firebase al tuo progetto JavaScript, se non lo hai già fatto.
Registra il tuo sito per reCAPTCHA v3 e ottieni la chiave di sito e la chiave segreta reCAPTCHA v3.
Registra le tue app per l'utilizzo di App Check con il provider reCAPTCHA nella sezione App Check della console Firebase. Dovrai fornire la chiave segreta che hai ricevuto nel passaggio precedente.
In genere devi registrare tutte le app del tuo progetto, perché, una volta attivata l'applicazione delle norme per un prodotto Firebase, solo le app registrate potranno accedere alle risorse di backend del prodotto.
Facoltativo: nelle impostazioni di registrazione dell'app, imposta una durata personalizzata. (TTL) per App Check token emessi dal provider. Puoi impostare il TTL su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando modifichi questo valore, tieni conto dei seguenti compromessi:
- Sicurezza: i TTL più brevi offrono una maggiore sicurezza, perché riducono il periodo di tempo in cui un token divulgato o intercettato può essere utilizzato in modo improprio da un malintenzionato.
- Prestazioni: TTL più brevi significa che la tua app eseguirà l'attestazione più spesso. Poiché il processo di attestazione dell'app aggiunge latenza alla rete richieste ogni volta che viene eseguita, un breve TTL può influire sulle prestazioni della tua app.
- Quota e costo: TTL più brevi e frequenti ripetizioni esauriscono la tua quota più rapidamente e, per i servizi a pagamento, potrebbe avere un costo maggiore. Consulta la sezione Quote e limiti.
Il TTL predefinito di 1 giorno è ragionevole per la maggior parte delle app. Tieni presente che la raccolta App Check viene aggiornata a metà della durata TTL.
2. Aggiungi la raccolta App Check alla tua app
Se non l'hai ancora fatto, aggiungi Firebase alla tua app web. Assicurati che per importare la libreria App Check.
3. Inizializza App Check
Aggiungi il seguente codice di inizializzazione all'applicazione, prima di accedere a qualsiasi
servizi Firebase. Dovrai passare la chiave di sito reCAPTCHA, che hai creato nella console reCAPTCHA, a activate()
.
Web
import { initializeApp } from "firebase/app"; import { initializeAppCheck, ReCaptchaV3Provider } from "firebase/app-check"; const app = initializeApp({ // Your firebase configuration object }); // Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this // key is the counterpart to the secret key you set in the Firebase console. const appCheck = initializeAppCheck(app, { provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'), // Optional argument. If true, the SDK automatically refreshes App Check // tokens as needed. isTokenAutoRefreshEnabled: true });
Web
firebase.initializeApp({ // Your firebase configuration object }); const appCheck = firebase.appCheck(); // Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this // key is the counterpart to the secret key you set in the Firebase console. appCheck.activate( 'abcdefghijklmnopqrstuvwxy-1234567890abcd', // Optional argument. If true, the SDK automatically refreshes App Check // tokens as needed. true);
Passaggi successivi
Dopo aver installato la libreria App Check nella tua app, esegui il deployment.
L'app client aggiornata inizierà a inviare App Check token insieme a ogni richiesta a Firebase, ma i prodotti Firebase non richiederanno i token sia valida finché non abiliti l'applicazione forzata nella sezione App Check del Console Firebase.
Monitorare le metriche e abilitare l'applicazione delle norme
Tuttavia, prima di attivare l'applicazione, devi assicurarti che questa operazione non causi interruzioni per gli utenti legittimi esistenti. D'altra parte, se vedi un uso sospetto delle risorse delle tue app, ti consigliamo di attivare l'applicazione forzata per prima cosa.
Per aiutarti a prendere questa decisione, puoi esaminare le metriche App Check per i servizi che utilizzi:
- Monitora le metriche delle richieste App Check per Realtime Database, Cloud Firestore, Cloud Storage, Firebase Data Connect (anteprima), Authentication (beta) e Vertex AI in Firebase (anteprima).
- Monitora le metriche delle richieste App Check per Cloud Functions.
Attiva l'applicazione forzata di App Check
Una volta compreso l'impatto di App Check sui tuoi utenti e quando è tutto pronto per procedere, puoi attivare l'applicazione di App Check:
- Attiva l'applicazione forzata di App Check per Realtime Database, Cloud Firestore, Cloud Storage, Firebase Data Connect (anteprima), Authentication (beta) e Vertex AI in Firebase (anteprima).
- Attiva l'applicazione forzata di App Check per Cloud Functions.
Utilizza App Check negli ambienti di debug
Se, dopo aver registrato la tua app per App Check, vuoi eseguire in un ambiente che App Check normalmente non classificherebbe come valida, ad esempio localmente durante lo sviluppo o da un'integrazione continua (CI) puoi creare una build di debug della tua app che utilizza Provider di debug App Check anziché un provider di attestazioni reale.
Vedi Utilizzare App Check con il provider di debug nelle app web.