استفاده از App Check را با reCAPTCHA v3 در برنامههای وب شروع کنید
با مجموعهها، منظم بمانید
ذخیره و طبقهبندی محتوا براساس اولویتهای شما.
این صفحه به شما نشان میدهد که چگونه با استفاده از ارائهدهنده داخلی reCAPTCHA v3، App Check در یک برنامه وب فعال کنید. وقتی App Check فعال میکنید، مطمئن میشوید که فقط برنامه شما میتواند به منابع Firebase پروژه شما دسترسی داشته باشد. مروری بر این ویژگی را ببینید.
شما باید از reCAPTCHA Enterprise برای ادغام های جدید استفاده کنید، و ما قویاً توصیه می کنیم که توسعه دهندگان برنامه هایی که از reCAPTCHA v3 استفاده می کنند، در صورت امکان ارتقاء دهند.
برای یادگیری تفاوتهای بین reCAPTCHA v3 و reCAPTCHA Enterprise، به مقایسه ویژگیها مراجعه کنید.
توجه داشته باشید که reCAPTCHA v3 برای کاربران نامرئی است. ارائهدهنده reCAPTCHA v3 در هر زمانی از کاربران نمیخواهد چالشی را حل کنند. به مستندات reCAPTCHA v3 مراجعه کنید.
برنامههای خود را برای استفاده از App Check با ارائهدهنده reCAPTCHA در بخش App Check کنسول Firebase ثبت کنید. شما باید کلید مخفی را که در مرحله قبل دریافت کرده اید ارائه دهید.
معمولاً باید همه برنامههای پروژه خود را ثبت کنید، زیرا پس از فعال کردن اجرای یک محصول Firebase، فقط برنامههای ثبتشده میتوانند به منابع پشتیبان محصول دسترسی پیدا کنند.
اختیاری : در تنظیمات ثبت برنامه، یک زمان سفارشی (TTL) برای نشانههای App Check صادر شده توسط ارائهدهنده تنظیم کنید. می توانید TTL را روی هر مقداری بین 30 دقیقه تا 7 روز تنظیم کنید. هنگام تغییر این مقدار، به معاوضه های زیر توجه داشته باشید:
امنیت: TTLهای کوتاهتر امنیت قویتری را فراهم میکنند، زیرا پنجرهای را کاهش میدهد که در آن توکن لو رفته یا رهگیری شده توسط مهاجم مورد سوء استفاده قرار میگیرد.
عملکرد: TTLهای کوتاهتر به این معنی است که برنامه شما به دفعات بیشتری گواهی را انجام می دهد. از آنجایی که فرآیند تأیید برنامه هر بار که انجام می شود، تاخیر را به درخواست های شبکه اضافه می کند، یک TTL کوتاه می تواند بر عملکرد برنامه شما تأثیر بگذارد.
سهمیه و هزینه: TTLهای کوتاهتر و تأیید مجدد مکرر سهمیه شما را سریعتر از بین می برد و برای خدمات پولی، احتمالاً هزینه بیشتری دارد. به سهمیه ها و محدودیت ها مراجعه کنید.
TTL پیشفرض ۱ روزه برای اکثر برنامهها معقول است. توجه داشته باشید که کتابخانه App Check توکن ها را تقریباً در نیمی از مدت زمان TTL تازه می کند.
قبل از دسترسی به خدمات Firebase، کد اولیه زیر را به برنامه خود اضافه کنید. برای activate() باید کلید سایت reCAPTCHA خود را که در کنسول reCAPTCHA ایجاد کرده اید، ارسال کنید.
Web
import{initializeApp}from"firebase/app";import{initializeAppCheck,ReCaptchaV3Provider}from"firebase/app-check";constapp=initializeApp({// Your firebase configuration object});// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this// key is the counterpart to the secret key you set in the Firebase console.constappCheck=initializeAppCheck(app,{provider:newReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),// Optional argument. If true, the SDK automatically refreshes App Check// tokens as needed.isTokenAutoRefreshEnabled:true});
firebase.initializeApp({// Your firebase configuration object});constappCheck=firebase.appCheck();// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this// key is the counterpart to the secret key you set in the Firebase console.appCheck.activate('abcdefghijklmnopqrstuvwxy-1234567890abcd',// Optional argument. If true, the SDK automatically refreshes App Check// tokens as needed.true);
هنگامی که کتابخانه App Check در برنامه شما نصب شد، آن را مستقر کنید.
برنامه کلاینت بهروزرسانیشده، به همراه هر درخواستی که به Firebase میکند، نشانههای App Check را ارسال میکند، اما محصولات Firebase تا زمانی که اعمال را در بخش App Check کنسول Firebase فعال نکنید، نیازی به معتبر بودن توکنها ندارند.
معیارها را رصد کنید و اجرا را فعال کنید
با این حال، قبل از فعال کردن اعمال، باید مطمئن شوید که انجام این کار باعث اختلال در کاربران قانونی فعلی شما نمی شود. از سوی دیگر، اگر استفاده مشکوک از منابع برنامه خود را مشاهده کردید، ممکن است بخواهید زودتر اجرای آن را فعال کنید.
برای کمک به این تصمیم، میتوانید به معیارهای App Check برای سرویسهایی که استفاده میکنید نگاه کنید:
معیارهای درخواست App Check برای Firebase AI Logic ، Data Connect ، Realtime Database ، Cloud Firestore ، Cloud Storage ، Authentication ، Google Identity برای iOS، Maps JavaScript API، و Places API (جدید) را بررسی کنید.
وقتی متوجه شدید که App Check چگونه بر کاربران شما تأثیر می گذارد و آماده ادامه کار هستید، می توانید اجرای App Check را فعال کنید:
اجرای App Check را برای Firebase AI Logic ، Data Connect ، Realtime Database ، Cloud Firestore ، Cloud Storage ، Authentication ، Google Identity برای iOS، Maps JavaScript API و Places API (جدید) فعال کنید.
اگر بعد از اینکه برنامه خود را برای App Check ثبت کردید، می خواهید برنامه خود را در محیطی اجرا کنید که App Check معمولاً آن را به عنوان معتبر طبقه بندی نمی کند، مانند محلی در طول توسعه، یا از یک محیط یکپارچه سازی پیوسته (CI)، می توانید یک ساختار اشکال زدایی از برنامه خود ایجاد کنید که به جای ارائه دهنده گواهی واقعی از ارائه دهنده اشکال زدایی App Check استفاده می کند.
تاریخ آخرین بهروزرسانی 2025-08-22 بهوقت ساعت هماهنگ جهانی.
[null,null,["تاریخ آخرین بهروزرسانی 2025-08-22 بهوقت ساعت هماهنگ جهانی."],[],[],null,["This page shows you how to enable App Check in a web app, using the built-in\nreCAPTCHA v3 provider. When you enable App Check, you help ensure that only\nyour app can access your project's Firebase resources. See an\n[Overview](/docs/app-check) of this feature.\n\n\u003cbr /\u003e\n\n| App Check also supports [reCAPTCHA Enterprise](/docs/app-check/web/recaptcha-enterprise-provider), which has more security features and fraud signals than reCAPTCHA v3. reCAPTCHA Enterprise gives you up to 10,000 assessments per month at no cost.\n|\n| \u003cbr /\u003e\n|\n| **You should use reCAPTCHA Enterprise for new integrations, and we strongly\n| recommend that developers of apps using reCAPTCHA v3 upgrade when possible.**\n|\n| To learn the differences between reCAPTCHA v3 and reCAPTCHA Enterprise, see the\n| [comparison of features](https://cloud.google.com/recaptcha-enterprise/docs/compare-versions).\n\n\u003cbr /\u003e\n\nNote that reCAPTCHA v3 is invisible to users. The reCAPTCHA v3 provider will not\nrequire users to solve a challenge at any time. See the\n[reCAPTCHA v3 documentation](https://developers.google.com/recaptcha/docs/v3).\n\nIf you want to use App Check with your own custom provider, see\n[Implement a custom App Check provider](/docs/app-check/web/custom-provider).\n\n1. Set up your Firebase project\n\n1. [Add Firebase to your JavaScript project](/docs/web/setup) if you haven't\n already done so.\n\n2. [Register your site for reCAPTCHA v3](https://www.google.com/recaptcha/admin/create) and get\n your reCAPTCHA v3 site key and secret key.\n\n3. Register your apps to use App Check with the reCAPTCHA provider in the\n [**App Check**](//console.firebase.google.com/project/_/appcheck) section of the\n Firebase console. You will need to provide the *secret key* you got in\n the previous step.\n\n You usually need to register all of your project's apps, because once you\n enable enforcement for a Firebase product, only registered apps will be able\n to access the product's backend resources.\n4. \u003cbr /\u003e\n\n \u003cbr /\u003e\n\n **Optional** : In the app registration settings, set a custom time-to-live\n (TTL) for App Check tokens issued by the provider. You can set the TTL\n to any value between 30 minutes and 7 days. When changing this value, be\n aware of the following tradeoffs:\n - Security: Shorter TTLs provide stronger security, because it reduces the window in which a leaked or intercepted token can be abused by an attacker.\n - Performance: Shorter TTLs mean your app will perform attestation more frequently. Because the app attestation process adds latency to network requests every time it's performed, a short TTL can impact the performance of your app.\n - Quota and cost: Shorter TTLs and frequent re-attestation deplete your quota faster, and for paid services, potentially cost more. See [Quotas \\& limits](/docs/app-check#quotas_limits).\n\n The default TTL of\n **1 day**\n is reasonable for most apps. Note that the App Check library refreshes\n tokens at approximately half the TTL duration.\n\n \u003cbr /\u003e\n\n \u003cbr /\u003e\n\n2. Add the App Check library to your app\n\n[Add Firebase to your web app](/docs/web/setup) if you haven't already. Be sure\nto import the App Check library.\n\n3. Initialize App Check\n\nAdd the following initialization code to your application, before you access any\nFirebase services. You will need to pass your reCAPTCHA *site key* , which you\ncreated in the reCAPTCHA console, to `activate()`. \n\nWeb \n\n```javascript\nimport { initializeApp } from \"firebase/app\";\nimport { initializeAppCheck, ReCaptchaV3Provider } from \"firebase/app-check\";\n\nconst app = initializeApp({\n // Your firebase configuration object\n});\n\n// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this\n// key is the counterpart to the secret key you set in the Firebase console.\nconst appCheck = initializeAppCheck(app, {\n provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),\n\n // Optional argument. If true, the SDK automatically refreshes App Check\n // tokens as needed.\n isTokenAutoRefreshEnabled: true\n});https://github.com/firebase/snippets-web/blob/467eaa165dcbd9b3ab15711e76fa52237ba37f8b/snippets/appcheck-next/index/appcheck_initialize.js#L8-L23\n```\n\nWeb \n\n```javascript\nfirebase.initializeApp({\n // Your firebase configuration object\n});\n\nconst appCheck = firebase.appCheck();\n// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this\n// key is the counterpart to the secret key you set in the Firebase console.\nappCheck.activate(\n 'abcdefghijklmnopqrstuvwxy-1234567890abcd',\n\n // Optional argument. If true, the SDK automatically refreshes App Check\n // tokens as needed.\n true);https://github.com/firebase/snippets-web/blob/467eaa165dcbd9b3ab15711e76fa52237ba37f8b/appcheck/index.js#L6-L18\n```\n| **Note:** The SDK will not automatically refresh App Check tokens by default. That functionality must be explicitly enabled by providing `true` as a second argument to `activate()` or by calling `firebase.appCheck().setTokenAutoRefreshEnabled(true)`. For more, see [the App Check reference docs](/docs/reference/js/firebase.appcheck.AppCheck).\n\nNext steps\n\nOnce the App Check library is installed in your app, deploy it.\n\nThe updated client app will begin sending App Check tokens along with every\nrequest it makes to Firebase, but Firebase products will not require the tokens\nto be valid until you enable enforcement in the App Check section of the\nFirebase console.\n\nMonitor metrics and enable enforcement\n\nBefore you enable enforcement, however, you should make sure that doing so won't\ndisrupt your existing legitimate users. On the other hand, if you're seeing\nsuspicious use of your app resources, you might want to enable enforcement\nsooner.\n\nTo help make this decision, you can look at App Check metrics for the\nservices you use:\n\n- [Monitor App Check request metrics](/docs/app-check/monitor-metrics) for Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity for iOS, Maps JavaScript API, and Places API (New).\n- [Monitor App Check request metrics for Cloud Functions](/docs/app-check/monitor-functions-metrics).\n\nEnable App Check enforcement\n\nWhen you understand how App Check will affect your users and you're ready to\nproceed, you can enable App Check enforcement:\n\n- [Enable App Check enforcement](/docs/app-check/enable-enforcement) for Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity for iOS, Maps JavaScript API, and Places API (New).\n- [Enable App Check enforcement for Cloud Functions](/docs/app-check/cloud-functions).\n\nUse App Check in debug environments\n\nIf, after you have registered your app for App Check, you want to run your\napp in an environment that App Check would normally not classify as valid,\nsuch as locally during development, or from a continuous integration (CI)\nenvironment, you can create a debug build of your app that uses the\nApp Check debug provider instead of a real attestation provider.\n\nSee [Use App Check with the debug provider in web apps](/docs/app-check/web/debug-provider)."]]
