Aktivieren Sie App Check mit einem benutzerdefinierten Anbieter für Web-Apps

Auf dieser Seite erfahren Sie, wie Sie App Check in einer Web-App mit Ihrem benutzerdefinierten App Check-Anbieter aktivieren. Wenn Sie App Check aktivieren, tragen Sie dazu bei, dass nur Ihre App auf die Firebase-Ressourcen Ihres Projekts zugreifen kann.

Wenn Sie App Check mit einem der integrierten Anbieter verwenden möchten, lesen Sie die Dokumentation für App Check mit reCAPTCHA v3 und App Check mit reCAPTCHA Enterprise .

Bevor Sie beginnen

1. Fügen Sie Ihrer App die App Check-Bibliothek hinzu

Fügen Sie Ihrer Web-App Firebase hinzu, falls Sie dies noch nicht getan haben. Stellen Sie sicher, dass Sie die App Check-Bibliothek importieren.

2. Erstellen Sie das App Check-Anbieterobjekt

Erstellen Sie ein App Check-Anbieterobjekt für Ihren benutzerdefinierten Anbieter. Dieses Objekt muss über eine getToken() -Methode verfügen, die alle Informationen sammelt, die Ihr benutzerdefinierter App-Check-Anbieter als Echtheitsnachweis benötigt, und sie im Austausch gegen ein App-Check-Token an Ihren Token-Erfassungsdienst sendet. Das App Check SDK übernimmt das Token-Caching, also erhalten Sie immer ein neues Token in Ihrer Implementierung von getToken() .

Web version 9

const { CustomProvider } = require("firebase/app-check");

const appCheckCustomProvider = new CustomProvider({
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
});

Web version 8

const appCheckCustomProvider = {
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
};

3. App-Check initialisieren

Fügen Sie Ihrer Anwendung den folgenden Initialisierungscode hinzu, bevor Sie auf Firebase-Dienste zugreifen:

Web version 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck } = require("firebase/app-check");

const app = initializeApp({
  // Your firebase configuration object
});

const appCheck = initializeAppCheck(app, {
  provider: appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true    
});

Web version 8

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
appCheck.activate(
  appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);

Sobald die App Check-Bibliothek in Ihrer App installiert ist, stellen Sie sie bereit.

Die aktualisierte Client-App beginnt mit dem Senden von App-Check-Tokens zusammen mit jeder Anfrage, die sie an Firebase sendet, aber Firebase-Produkte verlangen nicht, dass die Tokens gültig sind, bis Sie die Erzwingung im Abschnitt „App-Check“ der Firebase-Konsole aktivieren. Einzelheiten finden Sie in den nächsten beiden Abschnitten.

4. Überwachen Sie Anforderungsmetriken

Jetzt, da Ihre aktualisierte App in den Händen der Benutzer ist, können Sie die Erzwingung von App Check für die von Ihnen verwendeten Firebase-Produkte aktivieren. Bevor Sie dies tun, sollten Sie jedoch sicherstellen, dass dadurch Ihre bestehenden legitimen Benutzer nicht gestört werden.

Echtzeitdatenbank, Cloud Firestore und Cloud Storage

Ein wichtiges Tool, das Sie verwenden können, um diese Entscheidung für Realtime Database, Cloud Firestore und Cloud Storage zu treffen, ist der Bildschirm „App Check Request Metrics“.

Um die App Check-Anfragemetriken für ein Produkt anzuzeigen, öffnen Sie den App Check- Abschnitt der Firebase-Konsole. Zum Beispiel:

Screenshot der Seite „App Check-Metriken“.

Die Anforderungsmetriken für jedes Produkt sind in vier Kategorien unterteilt:

  • Verifizierte Anfragen sind solche, die über ein gültiges App Check-Token verfügen. Nachdem Sie die App Check-Erzwingung aktiviert haben, sind nur Anfragen in dieser Kategorie erfolgreich.

  • Veraltete Clientanforderungen sind solche, denen ein App Check-Token fehlt. Diese Anfragen stammen möglicherweise von einer älteren Version des Firebase SDK, bevor App Check in die App aufgenommen wurde.

  • Unbekannte Ursprungsanfragen sind solche, denen ein App Check-Token fehlt und die nicht so aussehen, als kämen sie vom Firebase SDK. Diese können von Anfragen stammen, die mit gestohlenen API-Schlüsseln oder gefälschten Anfragen ohne das Firebase SDK gestellt wurden.

  • Ungültige Anforderungen sind solche mit einem ungültigen App Check-Token, das möglicherweise von einem nicht authentischen Client stammt, der versucht, sich als Ihre App auszugeben, oder von emulierten Umgebungen.

Die Verteilung dieser Kategorien für Ihre App sollte Aufschluss darüber geben, wann Sie sich entscheiden, die Erzwingung zu aktivieren. Hier sind einige Richtlinien:

  • Wenn fast alle der letzten Anfragen von verifizierten Clients stammen, sollten Sie erwägen, die Erzwingung zu aktivieren, um mit dem Schutz Ihrer Back-End-Ressourcen zu beginnen.

  • Wenn ein erheblicher Teil der letzten Anfragen von wahrscheinlich veralteten Clients stammt, sollten Sie warten, bis mehr Benutzer Ihre App aktualisieren, bevor Sie die Erzwingung aktivieren, um Benutzer nicht zu stören. Durch das Erzwingen von App Check für eine veröffentlichte App werden frühere App-Versionen beschädigt, die nicht in das App Check SDK integriert sind.

  • Wenn Ihre App noch nicht gestartet wurde, sollten Sie die App-Check-Erzwingung sofort aktivieren, da keine veralteten Clients verwendet werden.

Cloud-Funktionen

Für Cloud Functions können Sie App Check-Metriken abrufen, indem Sie die Protokolle Ihrer Funktionen untersuchen. Jeder Aufruf einer aufrufbaren Funktion gibt einen strukturierten Protokolleintrag wie im folgenden Beispiel aus:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Sie können diese Messwerte in der Google Cloud Console analysieren, indem Sie einen protokollbasierten Zählermesswert mit dem folgenden Messwertfilter erstellen:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Beschriften Sie die Metrik mit dem Feld jsonPayload.verifications.appCheck .

5. Erzwingung aktivieren

Befolgen Sie zum Aktivieren der Erzwingung die nachstehenden Anweisungen für jedes Produkt. Sobald Sie die Erzwingung für ein Produkt aktivieren, werden alle unbestätigten Anfragen an dieses Produkt abgelehnt.

Echtzeitdatenbank, Cloud Firestore und Cloud Storage

So aktivieren Sie die Erzwingung für Realtime Database, Cloud Firestore (iOS und Android) und Cloud Storage:

  1. Öffnen Sie den App Check- Bereich der Firebase-Konsole.

  2. Erweitern Sie die Metrikansicht des Produkts, für das Sie die Erzwingung aktivieren möchten.

  3. Klicken Sie auf Erzwingen und bestätigen Sie Ihre Auswahl.

Beachten Sie, dass es bis zu 15 Minuten dauern kann, nachdem Sie die Erzwingung aktiviert haben, bis sie wirksam wird.

Cloud-Funktionen

Siehe Durchsetzung der App-Prüfung für Cloud Functions aktivieren .