Bắt đầu sử dụng tính năng Kiểm tra ứng dụng bằng reCAPTCHA v3 trong ứng dụng web

Trang này hướng dẫn cách bật App Check trong một ứng dụng web bằng cách sử dụng nhà cung cấp reCAPTCHA v3 tích hợp. Khi bật App Check, bạn sẽ giúp đảm bảo rằng chỉ ứng dụng của bạn mới có thể truy cập vào các tài nguyên Firebase của dự án. Xem bài viết Tổng quan về tính năng này.

Xin lưu ý rằng người dùng không nhìn thấy reCAPTCHA v3. Nhà cung cấp reCAPTCHA v3 sẽ không yêu cầu người dùng giải thử thách vào bất cứ lúc nào. Xem tài liệu về reCAPTCHA v3.

Nếu bạn muốn sử dụng App Check với nhà cung cấp tuỳ chỉnh của riêng mình, hãy xem bài viết Triển khai nhà cung cấp App Check tuỳ chỉnh.

1. Thiết lập dự án Firebase

Thêm Firebase vào dự án JavaScript nếu bạn chưa thực hiện.
Đăng ký trang web của bạn cho reCAPTCHA v3 và nhận khoá trang web reCAPTCHA v3 và khoá bí mật.
Trong bảng điều khiển Firebase, hãy chuyển đến phần Bảo mật > Kiểm tra ứng dụng.
Trong thẻ Ứng dụng, hãy đăng ký các ứng dụng để sử dụng App Check với nhà cung cấp reCAPTCHA. Bạn cần cung cấp khoá bí mật mà bạn nhận được trong trang web reCAPTCHA.

Thông thường, bạn cần đăng ký tất cả các ứng dụng của dự án. Vì sau khi bạn bật tính năng thực thi cho một sản phẩm Firebase, chỉ những ứng dụng đã đăng ký mới có thể truy cập vào tài nguyên phụ trợ của sản phẩm đó.
Không bắt buộc: Trong phần cài đặt đăng ký ứng dụng, hãy đặt thời gian tồn tại (TTL) tuỳ chỉnh cho mã thông báo App Check do nhà cung cấp phát hành. Bạn có thể đặt TTL thành bất kỳ giá trị nào trong khoảng từ 30 phút đến 7 ngày. Khi thay đổi giá trị này, hãy lưu ý những điểm đánh đổi sau:
- Bảo mật: TTL ngắn hơn giúp tăng cường bảo mật, vì TTL ngắn hơn sẽ giảm khoảng thời gian mà kẻ tấn công có thể lợi dụng mã thông báo bị rò rỉ hoặc bị chặn.
- Hiệu suất: TTL ngắn hơn có nghĩa là ứng dụng của bạn sẽ thực hiện chứng thực thường xuyên hơn. Vì quy trình chứng thực ứng dụng sẽ làm tăng độ trễ cho các yêu cầu mạng mỗi khi được thực hiện, nên TTL ngắn có thể ảnh hưởng đến hiệu suất của ứng dụng.
- Hạn mức và chi phí: TTL ngắn hơn và việc chứng thực lại thường xuyên sẽ làm cạn kiệt hạn mức nhanh hơn. Đối với các dịch vụ trả phí, điều này có thể tốn kém hơn. Xem bài viết Hạn mức và giới hạn.
TTL mặc định là 1 ngày , phù hợp với hầu hết các ứng dụng. Xin lưu ý rằng thư viện App Check làm mới mã làm mới ở khoảng một nửa thời lượng TTL.

Định cấu hình chế độ cài đặt nâng cao (không bắt buộc)

Khi người dùng truy cập vào ứng dụng web của bạn, reCAPTCHA v3 sẽ đánh giá mức độ rủi ro mà lượt tương tác của người dùng gây ra và trả về điểm số từ 0,0 đến 1,0; 1,0 là lượt tương tác rất có khả năng là tốt, 0,0 là rất có khả năng là bot. App Check cho phép bạn định cấu hình ngưỡng rủi ro ứng dụng để có thể điều chỉnh mức độ chấp nhận rủi ro này.

Đối với hầu hết các trường hợp sử dụng, bạn nên sử dụng giá trị ngưỡng mặc định là 0,5. Nếu trường hợp sử dụng của bạn yêu cầu điều chỉnh, bạn có thể định cấu hình trong phần App Check của bảng điều khiển Firebase cho từng ứng dụng web.

Thông tin chi tiết

App Check sử dụng ngưỡng rủi ro ứng dụng mà bạn đã định cấu hình làm điểm số reCAPTCHA v3 tối thiểu cần thiết để lượt tương tác của người dùng được coi là hợp lệ. Tất cả điểm số reCAPTCHA v3 nhỏ hơn nghiêm ngặt so với ngưỡng rủi ro ứng dụng mà bạn đã định cấu hình sẽ bị từ chối. Khi điều chỉnh ngưỡng rủi ro ứng dụng, hãy lưu ý những điều sau:

Để theo dõi tình trạng phân bổ điểm số reCAPTCHA v3 cho ứng dụng web, hãy truy cập vào Bảng điều khiển dành cho quản trị viên reCAPTCHA và chọn trang web tương ứng với ứng dụng web của bạn.
Nếu bạn có mức độ chấp nhận rủi ro ứng dụng thấp, hãy di chuyển thanh trượt sang trái để tăng ngưỡng rủi ro ứng dụng.
- Bạn không nên sử dụng giá trị 1.0, vì chế độ cài đặt này cũng có thể từ chối quyền truy cập đối với những người dùng hợp lệ không đáp ứng ngưỡng tin cậy cao này.
Cảnh báo: Trước khi tăng ngưỡng rủi ro ứng dụng, bạn nên cân nhắc tạm thời không thực thi tính năng bảo vệ Kiểm tra ứng dụng cho tất cả các dịch vụ hiện đang được thực thi để tránh làm gián đoạn người dùng hợp lệ. Bạn nên theo dõi các chỉ số yêu cầu Kiểm tra ứng dụng để xác minh rằng lưu lượng truy cập không bị gián đoạn trước khi tiếp tục thực thi.
Nếu bạn có mức độ chấp nhận rủi ro ứng dụng cao, hãy di chuyển thanh trượt sang phải để giảm ngưỡng rủi ro ứng dụng.
- Bạn không nên sử dụng giá trị 0.0, vì chế độ cài đặt này sẽ tắt tính năng bảo vệ chống lạm dụng.

Tham khảo tài liệu về reCAPTCHA v3 để biết thêm thông tin chi tiết.

2. Thêm thư viện App Check vào ứng dụng

Thêm Firebase vào ứng dụng web nếu bạn chưa thực hiện. Hãy nhớ nhập thư viện App Check.

3. Khởi chạy App Check

Thêm mã khởi chạy sau vào ứng dụng trước khi bạn truy cập vào bất kỳ dịch vụ Firebase nào. Bạn cần truyền khoá trang web reCAPTCHA (mà bạn đã tạo trong bảng điều khiển reCAPTCHA) đến activate().

Web

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaV3Provider } from "firebase/app-check";

const app = initializeApp({
  // Your firebase configuration object
});

// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true
});appcheck_initialize.js

Web

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
appCheck.activate(
  'abcdefghijklmnopqrstuvwxy-1234567890abcd',

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);index.js

Các bước tiếp theo

Sau khi cài đặt thư viện App Check trong ứng dụng, hãy triển khai thư viện đó.

Ứng dụng khách đã cập nhật sẽ bắt đầu gửi mã thông báo App Check cùng với mọi yêu cầu mà ứng dụng đó gửi đến Firebase. Tuy nhiên, các sản phẩm Firebase sẽ không yêu cầu mã thông báo phải hợp lệ cho đến khi bạn bật tính năng thực thi trong phần App Check của bảng điều khiển Firebase.

Theo dõi các chỉ số và bật tính năng thực thi

Tuy nhiên, trước khi bật tính năng thực thi, bạn nên đảm bảo rằng việc này sẽ không làm gián đoạn người dùng hợp lệ hiện tại. Mặt khác, nếu thấy có hành vi sử dụng đáng ngờ đối với tài nguyên ứng dụng, bạn có thể muốn bật tính năng thực thi sớm hơn.

Để giúp đưa ra quyết định này, bạn có thể xem các chỉ số App Check cho những dịch vụ mà bạn sử dụng:

Theo dõi các chỉ số yêu cầu App Check cho Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity cho iOS, Maps JavaScript API và Places API (Mới).
Theo dõi các chỉ số yêu cầu App Check cho Cloud Functions.

Bật tính năng thực thi App Check

Khi hiểu rõ cách App Check sẽ ảnh hưởng đến người dùng và bạn đã sẵn sàng tiếp tục, bạn có thể bật tính năng thực thi App Check:

Bật tính năng thực thi cho Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity cho iOS, Maps JavaScript API và Places API (Mới).App Check
Bật tính năng thực thi App Check cho Cloud Functions.

Sử dụng App Check trong môi trường gỡ lỗi

Nếu sau khi đăng ký ứng dụng cho App Check, bạn muốn chạy ứng dụng trong một môi trường mà App Check thường không phân loại là hợp lệ (chẳng hạn như cục bộ trong quá trình phát triển hoặc từ môi trường tích hợp liên tục (CI)), thì bạn có thể tạo bản dựng gỡ lỗi của ứng dụng sử dụng nhà cung cấp gỡ lỗi App Check thay vì nhà cung cấp chứng thực thực.

Xem bài viết Sử dụng App Check với nhà cung cấp gỡ lỗi trong ứng dụng web.