Z tej strony dowiesz się, jak włączyć Sprawdzanie aplikacji w aplikacji internetowej przy użyciu wbudowanego Dostawca reCAPTCHA w wersji 3. Włączenie Sprawdzania aplikacji pozwala zapewnić, że tylko użytkownicy aplikacja może uzyskać dostęp do zasobów Firebase projektu. Zobacz Omówienie tej funkcji.
Pamiętaj, że reCAPTCHA w wersji 3 jest niewidoczny dla użytkowników. Dostawca reCAPTCHA w wersji 3 nie będzie wymagać od użytkowników rozwiązania zadania w dowolnym momencie. Zobacz Dokumentacja reCAPTCHA v3.
Jeśli chcesz używać Sprawdzania aplikacji z własnym dostawcą niestandardowym, zobacz Zaimplementuj niestandardowego dostawcę Sprawdzanie aplikacji.
1. Skonfiguruj projekt Firebase
Dodaj Firebase do swojego projektu JavaScript, jeśli jeszcze nie zostało to zrobione. jeśli już to zrobili.
Zarejestruj swoją witrynę w reCAPTCHA w wersji 3 i otrzymaj klucza witryny reCAPTCHA w wersji 3 i klucza tajnego.
Zarejestruj aplikacje, aby używać Sprawdzania aplikacji z dostawcą reCAPTCHA w sekcji Sprawdzanie aplikacji na konsoli Firebase. Musisz podać tajny klucz, który został uzyskany w poprzednim kroku.
Zwykle konieczne jest zarejestrowanie wszystkich aplikacji związanych z projektem, ponieważ włączysz egzekwowanie zasad dla usługi Firebase, tylko zarejestrowane aplikacje będą mogły na dostęp do zasobów backendu usługi.
Opcjonalnie: w ustawieniach rejestracji aplikacji ustaw niestandardowy czas życia danych (TTL) tokenów Sprawdzania aplikacji wystawionych przez dostawcę. Możesz ustawić wartość TTL na dowolną wartość z zakresu od 30 minut do 7 dni. Zmieniając tę wartość, pamiętaj o tych wadach:
- Bezpieczeństwo: krótsze wartości TTL zapewniają silniejsze zabezpieczenia, ponieważ zmniejszają okno, w którym ujawniony lub przechwycony token może zostać wykorzystany przez atakującego.
- Wydajność: krótsze wartości TTL oznaczają większą wydajność atestu aplikacji często. Ponieważ proces poświadczania aplikacji zwiększa opóźnienie sieci. żądań przy każdym wykonaniu, krótki czas TTL może wpływać na wydajność Twojej aplikacji.
- Limit i koszt: krótsze wartości TTL i częsta ponowna atestacja powodują wyczerpywanie się przyśpieszać limity, a w przypadku usług płatnych może to być wyższe. Zobacz Limity i .
Domyślna wartość TTL 1 dzień, jest rozsądny w przypadku większości aplikacji. Pamiętaj, że biblioteka Sprawdzania aplikacji jest odświeżana. tokeny z mniej więcej połowę czasu TTL.
2. Dodawanie biblioteki Sprawdzania aplikacji do aplikacji
Dodaj Firebase do swojej aplikacji internetowej, jeśli jeszcze nie zostało to zrobione. Upewnij się, aby zaimportować bibliotekę Sprawdzanie aplikacji.
3. Inicjowanie Sprawdzania aplikacji
Przed uzyskaniem dostępu do dowolnej aplikacji dodaj do niej następujący kod inicjowania
Usługi Firebase. Musisz przekazać swój klucz witryny reCAPTCHA,
utworzona w konsoli reCAPTCHA, do activate().
Web
import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaV3Provider } from "firebase/app-check";
const app = initializeApp({
// Your firebase configuration object
});
// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
const appCheck = initializeAppCheck(app, {
provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),
// Optional argument. If true, the SDK automatically refreshes App Check
// tokens as needed.
isTokenAutoRefreshEnabled: true
});
Web
firebase.initializeApp({
// Your firebase configuration object
});
const appCheck = firebase.appCheck();
// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
appCheck.activate(
'abcdefghijklmnopqrstuvwxy-1234567890abcd',
// Optional argument. If true, the SDK automatically refreshes App Check
// tokens as needed.
true);
Dalsze kroki
Po zainstalowaniu biblioteki Sprawdzanie aplikacji w aplikacji wdróż ją.
Zaktualizowana aplikacja kliencka zacznie wysyłać tokeny Sprawdzania aplikacji wysyła żądanie jej do Firebase, ale usługi Firebase nie będą wymagać tokenów będzie ważne do momentu włączenia wymuszania w sekcji Sprawdzanie aplikacji konsoli Firebase.
Monitorowanie wskaźników i włączanie wymuszania
Zanim jednak włączysz wymuszanie, upewnij się, że nie zakłócać działanie istniejących prawidłowych użytkowników. Z drugiej strony, jeśli widzisz podejrzane wykorzystanie zasobów aplikacji, warto włączyć wymuszanie szybciej.
W podjęciu tej decyzji mogą pomóc dane funkcji Sprawdzanie aplikacji używanych usług:
- Monitorowanie danych żądań Sprawdzania aplikacji: Baza danych czasu rzeczywistego, Cloud Firestore, Cloud Storage i Uwierzytelnianie (beta).
- Monitorowanie wskaźników żądań Sprawdzania aplikacji w Cloud Functions
Włącz wymuszanie Sprawdzania aplikacji
Gdy zrozumiesz, jak Sprawdzanie aplikacji wpłynie na Twoich użytkowników, możesz zacząć możesz włączyć wymuszanie Sprawdzania aplikacji:
- Włącz wymuszanie Sprawdzania aplikacji dla Baza danych czasu rzeczywistego, Cloud Firestore, Cloud Storage i Uwierzytelnianie (beta).
- Włącz wymuszanie Sprawdzania aplikacji w Cloud Functions.
Używanie Sprawdzania aplikacji w środowiskach debugowania
Jeśli po zarejestrowaniu aplikacji w Sprawdzaniu aplikacji chcesz ją uruchomić w środowisku, którego Sprawdzanie aplikacji zwykle nie sklasyfikowałoby jako prawidłowe, np. lokalnie w trakcie programowania lub w trybie ciągłej integracji (CI) możesz utworzyć kompilację do debugowania aplikacji wykorzystującą dostawca debugowania Sprawdzania aplikacji zamiast prawdziwego dostawcy atestu;
Zapoznaj się z artykułem na temat używania Sprawdzania aplikacji z dostawcą debugowania w aplikacjach internetowych.