웹 앱에서 사용자 지정 공급자로 앱 확인 활성화

이 페이지에서는 맞춤형 App Check 공급자를 사용하여 웹 앱에서 App Check를 활성화하는 방법을 보여줍니다. 앱 확인을 활성화하면 앱만 프로젝트의 Firebase 리소스에 액세스할 수 있도록 할 수 있습니다.

기본 제공 공급자 중 하나와 함께 앱 확인을 사용하려면 reCAPTCHA v3 를 사용한 앱 확인 및 reCAPTCHA Enterprise를 사용한 앱 확인에 대한 문서를 참조하세요.

시작하기 전에

1. 앱에 App Check 라이브러리 추가

아직 웹 앱에 Firebase를 추가 하지 않은 경우 추가합니다. App Check 라이브러리를 가져와야 합니다.

2. 앱 체크 제공자 객체 생성

사용자 지정 공급자에 대한 App Check 공급자 개체를 만듭니다. 이 객체에는 사용자 지정 App Check 공급자가 진위 증명으로 요구하는 모든 정보를 수집하고 App Check 토큰과 교환하여 토큰 획득 서비스로 보내는 getToken() 메서드가 있어야 합니다. App Check SDK는 토큰 캐싱을 처리하므로 getToken() 구현에서 항상 새 토큰을 가져옵니다.

Web version 9

const { CustomProvider } = require("firebase/app-check");

const appCheckCustomProvider = new CustomProvider({
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
});

Web version 8

const appCheckCustomProvider = {
  getToken: () => {
    return new Promise((resolve, _reject) => {
      // TODO: Logic to exchange proof of authenticity for an App Check token and
      // expiration time.

      // ...

      const appCheckToken = {
        token: tokenFromServer,
        expireTimeMillis: expirationFromServer * 1000
      };

      resolve(appCheckToken);
    });
  }
};

3. 앱 체크 초기화

Firebase 서비스에 액세스하기 전에 다음 초기화 코드를 애플리케이션에 추가합니다.

Web version 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck } = require("firebase/app-check");

const app = initializeApp({
  // Your firebase configuration object
});

const appCheck = initializeAppCheck(app, {
  provider: appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true    
});

Web version 8

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
appCheck.activate(
  appCheckCustomProvider,

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);

App Check 라이브러리가 앱에 설치되면 배포합니다.

업데이트된 클라이언트 앱은 Firebase에 대한 모든 요청과 함께 App Check 토큰을 보내기 시작하지만 Firebase 콘솔의 App Check 섹션에서 시행을 활성화할 때까지 Firebase 제품에서 토큰이 유효할 것을 요구하지 않습니다. 자세한 내용은 다음 두 섹션을 참조하십시오.

4. 요청 메트릭 모니터링

업데이트된 앱이 사용자에게 제공되었으므로 사용하는 Firebase 제품에 대해 App Check 시행을 활성화할 수 있습니다. 그러나 그렇게 하기 전에 그렇게 하는 것이 기존의 합법적인 사용자를 방해하지 않는지 확인해야 합니다.

실시간 데이터베이스, Cloud Firestore 및 Cloud Storage

실시간 데이터베이스, Cloud Firestore 및 Cloud Storage에 대해 이러한 결정을 내리는 데 사용할 수 있는 중요한 도구는 앱 확인 요청 메트릭 화면입니다.

제품에 대한 App Check 요청 측정항목을 보려면 Firebase 콘솔의 App Check 섹션을 엽니다. 예를 들어:

App Check 측정항목 페이지의 스크린샷

각 제품에 대한 요청 메트릭은 네 가지 범주로 나뉩니다.

  • 확인된 요청은 유효한 App Check 토큰이 있는 요청입니다. 앱 검사 시행을 활성화한 후에는 이 범주의 요청만 성공합니다.

  • 오래된 클라이언트 요청은 App Check 토큰이 누락된 요청입니다. 이러한 요청은 App Check가 앱에 포함되기 전에 Firebase SDK의 이전 버전에서 발생한 것일 수 있습니다.

  • 알 수 없는 출처 요청은 App Check 토큰이 없고 Firebase SDK에서 온 것 같지 않은 요청입니다. 이는 도난당한 API 키로 이루어진 요청 또는 Firebase SDK 없이 이루어진 위조된 요청에서 비롯된 것일 수 있습니다.

  • 잘못된 요청은 잘못된 앱 확인 토큰이 있는 요청으로, 앱을 가장하려고 시도하는 인증되지 않은 클라이언트나 에뮬레이트된 환경에서 발생할 수 있습니다.

앱에 대한 이러한 범주의 배포는 시행을 활성화하기로 결정할 때 알려야 합니다. 다음은 몇 가지 지침입니다.

  • 최근 요청이 거의 모두 확인된 클라이언트에서 온 경우 적용을 활성화하여 백엔드 리소스 보호를 시작하는 것이 좋습니다.

  • 최근 요청의 상당 부분이 오래된 클라이언트에서 온 것이라면 사용자를 방해하지 않으려면 시행을 활성화하기 전에 더 많은 사용자가 앱을 업데이트할 때까지 기다리는 것이 좋습니다. 출시된 앱에 App Check를 적용하면 App Check SDK와 통합되지 않은 이전 앱 버전이 중단됩니다.

  • 앱이 아직 실행되지 않은 경우 사용 중인 오래된 클라이언트가 없기 때문에 즉시 App Check 시행을 활성화해야 합니다.

클라우드 함수

Cloud Functions의 경우 함수의 로그를 검사하여 App Check 측정항목을 가져올 수 있습니다. 호출 가능한 함수를 호출할 때마다 다음 예와 같은 구조화된 로그 항목이 생성됩니다.

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

다음 측정항목 필터 로 로그 기반 카운터 측정항목을 만들어 Google Cloud Console에서 이러한 측정항목을 분석할 수 있습니다.

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

jsonPayload.verifications.appCheck 필드를 사용 하여 지표에 레이블 을 지정합니다.

5. 시행 활성화

시행을 활성화하려면 아래의 각 제품에 대한 지침을 따르세요. 제품에 대한 시행을 활성화하면 해당 제품에 대한 확인되지 않은 모든 요청이 거부됩니다.

실시간 데이터베이스, Cloud Firestore 및 Cloud Storage

실시간 데이터베이스, Cloud Firestore(iOS 및 Android), Cloud Storage에 대한 시행을 활성화하려면:

  1. Firebase 콘솔의 앱 확인 섹션을 엽니다.

  2. 시행을 활성화하려는 제품의 메트릭 보기를 확장합니다.

  3. 시행 을 클릭하고 선택 사항을 확인합니다.

시행을 활성화한 후 적용되는 데 최대 15분이 소요될 수 있습니다.

클라우드 함수

Cloud Functions에 대한 앱 검사 시행 활성화를 참조하십시오.