Utiliser App Check avec le fournisseur de débogage dans les applications Web
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Si, après avoir enregistré votre application pour App Check, vous souhaitez l'exécuter dans un environnement que App Check ne classerait normalement pas comme valide (par exemple, localement pendant le développement ou à partir d'un environnement d'intégration continue (CI)), vous pouvez créer une version de débogage de votre application qui utilise le fournisseur de débogage App Check au lieu d'un véritable fournisseur d'attestation.
Utiliser le fournisseur de débogage sur localhost
Pour utiliser le fournisseur de débogage lorsque vous exécutez votre application à partir de localhost (pendant le développement, par exemple), procédez comme suit :
Dans votre version de débogage, activez le mode débogage en définissant self.FIREBASE_APPCHECK_DEBUG_TOKEN sur true avant d'initialiser App Check. Exemple :
self.FIREBASE_APPCHECK_DEBUG_TOKEN=true;firebase.appCheck().activate(/* site key or provider */);
Accédez à votre application Web en local et ouvrez l'outil pour les développeurs du navigateur. Dans la console de débogage, vous verrez un jeton de débogage :
AppCheck debug token: "123a4567-b89c-12d3-e456-789012345678". You will
need to safelist it in the Firebase console for it to work.
Dans la section App Check de la console Firebase, sélectionnez Gérer les jetons de débogage dans le menu à trois points de votre application. Ensuite, enregistrez le jeton de débogage que vous avez consigné à l'étape précédente.
Une fois le jeton enregistré, les services de backend Firebase l'acceptent comme valide.
Étant donné que ce jeton permet d'accéder à vos ressources Firebase sans appareil valide, il est essentiel que vous le gardiez privé. Ne l'enregistrez pas dans un dépôt public. Si un jeton enregistré est compromis, révoquez-le immédiatement dans la console Firebase.
Ce jeton est stocké en local dans votre navigateur et sera utilisé chaque fois que vous utiliserez votre application dans le même navigateur sur la même machine. Si vous souhaitez utiliser le jeton dans un autre navigateur ou sur une autre machine, définissez self.FIREBASE_APPCHECK_DEBUG_TOKEN sur la chaîne de jeton au lieu de true.
Utiliser le fournisseur de débogage dans un environnement CI
Pour utiliser le fournisseur de débogage dans un environnement d'intégration continue (CI), procédez comme suit :
Dans la section App Check de la console Firebase, sélectionnez Gérer les jetons de débogage dans le menu à trois points de votre application. Créez ensuite un jeton de débogage. Vous en aurez besoin à l'étape suivante.
Étant donné que ce jeton permet d'accéder à vos ressources Firebase sans appareil valide, il est essentiel que vous le gardiez secret. Ne l'enregistrez pas dans un dépôt public. Si un jeton enregistré est compromis, révoquez-le immédiatement dans la console Firebase.
Ajoutez le jeton de débogage que vous venez de créer au keystore sécurisé de votre système d'intégration continue (par exemple, les secrets chiffrés de GitHub Actions ou les variables chiffrées de Travis CI).
Si nécessaire, configurez votre système CI pour que votre jeton de débogage soit disponible dans l'environnement CI en tant que variable d'environnement. Nommez la variable, par exemple APP_CHECK_DEBUG_TOKEN_FROM_CI.
Dans votre version de débogage, activez le mode débogage en définissant self.FIREBASE_APPCHECK_DEBUG_TOKEN sur la valeur de la variable d'environnement du jeton de débogage avant d'importer App Check. Exemple :
self.FIREBASE_APPCHECK_DEBUG_TOKEN=process.env.APP_CHECK_DEBUG_TOKEN_FROM_CI;firebase.appCheck().activate(/* site key or provider */);
Lorsque votre application s'exécute dans un environnement d'intégration continue, les services de backend Firebase acceptent le jeton qu'elle envoie comme valide.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/30 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Il n'y a pas l'information dont j'ai besoin","missingTheInformationINeed","thumb-down"],["Trop compliqué/Trop d'étapes","tooComplicatedTooManySteps","thumb-down"],["Obsolète","outOfDate","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Mauvais exemple/Erreur de code","samplesCodeIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/08/30 (UTC)."],[],[],null,["If, after you have registered your app for App Check, you want to run your\napp in an environment that App Check would normally not classify as valid,\nsuch as locally during development, or from a continuous integration (CI)\nenvironment, you can create a debug build of your app that uses the\nApp Check debug provider instead of a real attestation provider.\n| **Warning:** The debug provider allows access to your Firebase resources from unverified devices. **Don't** use the debug provider in production builds of your app, and **don't** share your debug builds with untrusted parties.\n\nUse the debug provider on localhost\n\nTo use the debug provider while running your app from `localhost` (during\ndevelopment, for example), do the following:\n| **Warning:** *Do not* try to enable `localhost` debugging by adding `localhost` to reCAPTCHA's allowed domains. Doing so would allow anyone to run your app from their local machines!\n\n1. In your debug build, enable debug mode by setting\n `self.FIREBASE_APPCHECK_DEBUG_TOKEN` to `true` before you initialize\n App Check. For example:\n\n Web \n\n self.FIREBASE_APPCHECK_DEBUG_TOKEN = true;\n initializeAppCheck(app, { /* App Check options */ });\n\n Web \n\n self.FIREBASE_APPCHECK_DEBUG_TOKEN = true;\n firebase.appCheck().activate(/* site key or provider */);\n\n | **Note:** In Firebase Web SDK versions before v9, `self.FIREBASE_APPCHECK_DEBUG_TOKEN` is read at import time, and not at initialization/activation time. This required it to be set in `index.html` before the code bundle is loaded. To avoid this restriction, upgrade to v9.\n2. Visit your web app locally and open the browser's developer tool. In the\n debug console, you'll see a debug token:\n\n ```\n AppCheck debug token: \"123a4567-b89c-12d3-e456-789012345678\". You will\n need to safelist it in the Firebase console for it to work.\n ```\n3. In the [**App Check**](//console.firebase.google.com/project/_/appcheck) section\n of the Firebase console, choose **Manage debug tokens** from your app's\n overflow menu. Then, register the debug token you logged in the previous\n step.\n\nAfter you register the token, Firebase backend services will accept it as valid.\n\nBecause this token allows access to your Firebase resources without a\nvalid device, it is crucial that you keep it private. Don't commit it to a\npublic repository, and if a registered token is ever compromised, revoke it\nimmediately in the Firebase console.\n\nThis token is stored locally in your browser and will be used whenever you use\nyour app in the same browser on the same machine. If you want to use the\ntoken in another browser or on another machine, set\n`self.FIREBASE_APPCHECK_DEBUG_TOKEN` to the token string instead of `true`.\n\nUse the debug provider in a CI environment\n\nTo use the debug provider in a continuous integration (CI) environment, do the following:\n\n1. In the [**App Check**](//console.firebase.google.com/project/_/appcheck) section\n of the Firebase console, choose **Manage debug tokens** from your app's\n overflow menu. Then, create a new debug token. You'll need the token in the\n next step.\n\n Because this token allows access to your Firebase resources without\n a valid device, it is crucial that you keep it private. Don't commit it to a\n public repository, and if a registered token is ever compromised, revoke it\n immediately in the Firebase console.\n\n2. Add the debug token you just created to your CI system's secure key store\n (for example, GitHub Actions' [encrypted secrets](https://docs.github.com/en/actions/reference/encrypted-secrets)\n or Travis CI's [encrypted variables](https://docs.travis-ci.com/user/environment-variables/#defining-encrypted-variables-in-travisyml)).\n\n3. If necessary, configure your CI system to make your debug token available\n within the CI environment as an environment variable. Name the variable\n something like `APP_CHECK_DEBUG_TOKEN_FROM_CI`.\n\n4. In your debug build, enable debug mode by setting\n `self.FIREBASE_APPCHECK_DEBUG_TOKEN` to the value of the debug token\n environment variable before you import App Check. For example:\n\n Web \n\n self.FIREBASE_APPCHECK_DEBUG_TOKEN = process.env.APP_CHECK_DEBUG_TOKEN_FROM_CI;\n initializeAppCheck(app, { /* App Check options */ });\n\n Web \n\n self.FIREBASE_APPCHECK_DEBUG_TOKEN = process.env.APP_CHECK_DEBUG_TOKEN_FROM_CI;\n firebase.appCheck().activate(/* site key or provider */);\n\nWhen your app runs in a CI environment, Firebase backend services will accept\nthe token it sends as valid."]]
