Comience a usar App Check con un proveedor personalizado en aplicaciones web

Esta página le muestra cómo habilitar App Check en una aplicación web, utilizando su proveedor de App Check personalizado . Cuando habilitas App Check, ayudas a garantizar que solo tu aplicación pueda acceder a los recursos de Firebase de tu proyecto.

Si desea utilizar App Check con uno de los proveedores integrados, consulte los documentos de App Check con reCAPTCHA Enterprise .

Antes de que empieces

1. Agregue la biblioteca App Check a su aplicación

Agrega Firebase a tu aplicación web si aún no lo has hecho. Asegúrese de importar la biblioteca App Check.

2. Cree el objeto proveedor App Check

Cree un objeto de proveedor App Check para su proveedor personalizado. Este objeto debe tener un método getToken() , que recopila cualquier información que su proveedor de App Check personalizado requiera como prueba de autenticidad y la envía a su servicio de adquisición de tokens a cambio de un token de App Check. El SDK de App Check maneja el almacenamiento en caché de tokens, por lo que siempre obtenga un token nuevo en su implementación de getToken() .

Web modular API

import { CustomProvider } from "firebase/app-check";

const appCheckCustomProvider = new CustomProvider({
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
});

Web namespaced API

const appCheckCustomProvider = {
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
};

3. Inicializar la verificación de la aplicación

Agregue el siguiente código de inicialización a su aplicación antes de acceder a cualquier servicio de Firebase:

Web modular API

import { initializeApp } from "firebase/app";
import { initializeAppCheck } from "firebase/app-check";

const app = initializeApp({
  // Your firebase configuration object
});

const appCheck = initializeAppCheck(app, {
  provider: appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true    
});

Web namespaced API

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
appCheck.activate(
  appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);

Próximos pasos

Una vez que la biblioteca App Check esté instalada en su aplicación, impleméntela.

La aplicación cliente actualizada comenzará a enviar tokens de App Check junto con cada solicitud que realice a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección App Check de Firebase console.

Supervise las métricas y permita la aplicación de la ley

Sin embargo, antes de habilitar la aplicación de medidas, debe asegurarse de que hacerlo no interrumpa a sus usuarios legítimos existentes. Por otro lado, si observa un uso sospechoso de los recursos de su aplicación, es posible que desee habilitar la aplicación de medidas antes.

Para ayudar a tomar esta decisión, puede consultar las métricas de App Check para los servicios que utiliza:

Habilitar la aplicación de verificación de aplicaciones

Cuando comprenda cómo afectará App Check a sus usuarios y esté listo para continuar, podrá habilitar la aplicación de App Check:

Utilice App Check en entornos de depuración

Si, después de haber registrado su aplicación para App Check, desea ejecutar su aplicación en un entorno que App Check normalmente no clasificaría como válido, como localmente durante el desarrollo, o desde un entorno de integración continua (CI), puede crear una compilación de depuración de su aplicación que utiliza el proveedor de depuración App Check en lugar de un proveedor de certificación real.

Consulte Usar App Check con el proveedor de depuración en aplicaciones web .