वेब ऐप्लिकेशन में reCAPTCHA Enterprise की मदद से, ऐप्लिकेशन जांचने की सुविधा का इस्तेमाल शुरू करें

इस पेज पर, reCAPTCHA Enterprise की सेवा देने वाली कंपनी का इस्तेमाल करके, वेब ऐप्लिकेशन में App Check की सुविधा चालू करने का तरीका बताया गया है. जब आप App Check चालू करते हैं, तो यह पक्का करने में मदद मिलती है कि सिर्फ़ आपका ऐप्लिकेशन ही, आपके प्रोजेक्ट के बैकएंड के संसाधनों को ऐक्सेस कर सके. इस सुविधा की खास जानकारी देखें .

ध्यान दें कि App Check reCAPTCHA Enterprise के स्कोर के आधार पर साइट की कुंजियों का इस्तेमाल करता है. इससे, ये कुंजियां उपयोगकर्ताओं को नहीं दिखती हैं. reCAPTCHA Enterprise की सेवा देने वाली कंपनी, उपयोगकर्ताओं से किसी भी समय चैलेंज हल करने के लिए नहीं कहेगी.

अगर आपके इस्तेमाल के मामले में, reCAPTCHA Enterprise की उन सुविधाओं की ज़रूरत है जिन्हें App Check की सुविधा के तहत लागू नहीं किया गया है या अगर आपको App Check की सुविधा, अपनी पसंद के मुताबिक बनाई गई सेवा देने वाली कंपनी के साथ इस्तेमाल करनी है, तो App Check की सेवा देने वाली कंपनी को अपनी पसंद के मुताबिक बनाना लेख पढ़ें.

1. अपना Firebase प्रोजेक्ट सेट अप करना

  1. अगर आपने पहले से ऐसा नहीं किया है, तो अपने JavaScript प्रोजेक्ट में Firebase जोड़ें.

  2. reCAPTCHA Enterprise सेक्शन खोलें और यह काम करें:Google Cloud

    1. अगर आपसे reCAPTCHA Enterprise API चालू करने के लिए कहा जाता है, तो ऐसा करें.
    2. वेबसाइट टाइप की कुंजी बनाएं. आपको उन डोमेन के बारे में बताना होगा जिन पर आपका वेब ऐप्लिकेशन होस्ट किया गया है. "चेकबॉक्स चैलेंज का इस्तेमाल करें" विकल्प को चुने बिना छोड़ दें.
  3. Firebase कंसोल में, सुरक्षा > App Check पर जाएं.

  4. ऐप्लिकेशन टैब में, अपने ऐप्लिकेशन रजिस्टर करें, ताकि वे App Check की सुविधा का इस्तेमाल reCAPTCHA Enterprise की सेवा देने वाली कंपनी के साथ कर सकें. आपको मिली साइट की कुंजी देनी होगी Google Cloud कंसोल में.

    आम तौर पर, आपको अपने प्रोजेक्ट के सभी ऐप्लिकेशन रजिस्टर करने होते हैं. ऐसा इसलिए, क्योंकि Firebase प्रॉडक्ट के लिए, लागू करने की सुविधा चालू करने के बाद, सिर्फ़ रजिस्टर किए गए ऐप्लिकेशन ही प्रॉडक्ट के बैकएंड के संसाधनों को ऐक्सेस कर पाएंगे.

  5. ज़रूरी नहीं: ऐप्लिकेशन के रजिस्ट्रेशन की सेटिंग में, सेवा देने वाली कंपनी की ओर से जारी किए गए App Check टोकन के लिए, अपनी पसंद के मुताबिक टाइम-टू-लाइव (टीटीएल) सेट करें. टीटीएल को 30 मिनट से लेकर सात दिनों के बीच की किसी भी वैल्यू पर सेट किया जा सकता है. इस वैल्यू को बदलते समय, इन बातों का ध्यान रखें:

    • सुरक्षा: कम टीटीएल से सुरक्षा बेहतर होती है. ऐसा इसलिए, क्योंकि इससे वह समय कम हो जाता है जिसमें लीक हुए या इंटरसेप्ट किए गए टोकन का इस्तेमाल, हमलावर गलत तरीके से कर सकता है.
    • परफ़ॉर्मेंस: कम टीटीएल का मतलब है कि आपका ऐप्लिकेशन, एटेस्टेशन की प्रोसेस को ज़्यादा बार करेगा. ऐप्लिकेशन एटेस्टेशन की प्रोसेस हर बार नेटवर्क अनुरोधों में देरी करती है. इसलिए, कम टीटीएल से आपके ऐप्लिकेशन की परफ़ॉर्मेंस पर असर पड़ सकता है.
    • कोटा और लागत: कम टीटीएल और बार-बार एटेस्टेशन करने से, आपका कोटा तेज़ी से खत्म हो जाता है. साथ ही, पैसे चुकाकर ली जाने वाली सेवाओं के लिए, ज़्यादा लागत लग सकती है. कोटे और सीमाएं देखें.

    ज़्यादातर ऐप्लिकेशन के लिए, एक घंटे का डिफ़ॉल्ट टीटीएल सही होता है. ध्यान दें कि App Check लाइब्रेरी, टीटीएल की अवधि के करीब आधे समय में टोकन रीफ़्रेश करती है.

बेहतर सेटिंग कॉन्फ़िगर करना (ज़रूरी नहीं)

जब कोई उपयोगकर्ता आपके वेब ऐप्लिकेशन पर जाता है, तो reCAPTCHA Enterprise, उपयोगकर्ता के इंटरैक्शन से होने वाले जोखिम के लेवल का आकलन करता है. इसके बाद, 0.0 और 1.0 के बीच का स्कोर दिखाता है. यह स्कोर 0.1 के अंतर से बढ़ता है. स्कोर 1.0 का मतलब है कि इंटरैक्शन से कम जोखिम है और इसके सही होने की संभावना ज़्यादा है. वहीं, 0.0 का मतलब है कि इंटरैक्शन से ज़्यादा जोखिम है और यह धोखाधड़ी वाला हो सकता है. App Check की मदद से, ऐप्लिकेशन के जोखिम की थ्रेशोल्ड कॉन्फ़िगर की जा सकती है. इससे, इस जोखिम के लिए अपनी टॉलरेंस को अडजस्ट किया जा सकता है.

ज़्यादातर इस्तेमाल के मामलों के लिए, 0.5 की डिफ़ॉल्ट थ्रेशोल्ड वैल्यू का सुझाव दिया जाता है. अगर आपके इस्तेमाल के मामले में, इसमें बदलाव करने की ज़रूरत है, तो इसे App Check सेक्शन में, अपने हर वेब ऐप्लिकेशन के लिए कॉन्फ़िगर किया जा सकता है.Firebase

जानकारी

App Check कॉन्फ़िगर की गई ऐप्लिकेशन के जोखिम की थ्रेशोल्ड को, reCAPTCHA Enterprise के उस कम से कम स्कोर के तौर पर इस्तेमाल करता है जो किसी उपयोगकर्ता के इंटरैक्शन को सही ठहराने के लिए ज़रूरी होता है. कॉन्फ़िगर की गई थ्रेशोल्ड से कम के सभी reCAPTCHA Enterprise स्कोर अस्वीकार कर दिए जाएंगे. ऐप्लिकेशन के जोखिम की थ्रेशोल्ड को अडजस्ट करते समय, इन बातों का ध्यान रखें:

  • reCAPTCHA Enterprise के स्कोर के 11 संभावित लेवल में से, आपके प्रोजेक्ट में Google Cloud Billing खाता जोड़ने से पहले, सिर्फ़ ये चार स्कोर लेवल उपलब्ध होते हैं: 0.1, 0.3, 0.7, और 0.9. इस दौरान, App Check सिर्फ़ ऐप्लिकेशन के जोखिम की थ्रेशोल्ड की ये वैल्यू इस्तेमाल करने की अनुमति देगा: 0.1, 0.3, 0.5, 0.7, और 0.9. ज़्यादातर इस्तेमाल के मामलों के लिए, ऐप्लिकेशन के जोखिम की थ्रेशोल्ड की वैल्यू 0.5 का सुझाव अब भी दिया जाता है.

  • अपने वेब ऐप्लिकेशन के लिए, reCAPTCHA Enterprise के ज़्यादा और कम स्कोर के डिस्ट्रिब्यूशन को मॉनिटर करने के लिए, Google Cloud Google Cloud console में reCAPTCHA Enterprise पेज पर जाएं. इसके बाद, अपने वेब ऐप्लिकेशन की साइट की कुंजी चुनें.

  • अगर आपके पास ऐप्लिकेशन के जोखिम के लिए कम टॉलरेंस है, तो ऐप्लिकेशन के जोखिम की थ्रेशोल्ड बढ़ाने के लिए, स्लाइडर को बाईं ओर ले जाएं.

    • 1.0 वैल्यू का सुझाव नहीं दिया जाता. ऐसा इसलिए, क्योंकि इस सेटिंग से, उन सही उपयोगकर्ताओं को भी ऐक्सेस से रोका जा सकता है जो भरोसे की इस ऊंची थ्रेशोल्ड को पूरा नहीं करते हैं.
  • अगर आपके पास ऐप्लिकेशन के जोखिम के लिए ज़्यादा टॉलरेंस है, तो ऐप्लिकेशन के जोखिम की थ्रेशोल्ड कम करने के लिए, स्लाइडर को दाईं ओर ले जाएं.

    • 0.0 वैल्यू का सुझाव नहीं दिया जाता. ऐसा इसलिए, क्योंकि इस सेटिंग से, गलत इस्तेमाल से सुरक्षा की सुविधा बंद हो जाती है.

ज़्यादा जानकारी के लिए, reCAPTCHA Enterprise का दस्तावेज़ देखें.

2. अपने ऐप्लिकेशन में App Check लाइब्रेरी जोड़ना

अगर आपने पहले से ऐसा नहीं किया है, तो अपने वेब ऐप्लिकेशन में Firebase जोड़ें. लाइब्रेरी इंपोर्ट करना न भूलें.App Check

3. App Check को शुरू करना

किसी भी Firebase सेवा को ऐक्सेस करने से पहले, अपने ऐप्लिकेशन में शुरू करने का यह कोड जोड़ें. आपको Cloud Console में बनाई गई, reCAPTCHA Enterprise की साइट की कुंजी को activate() में पास करना होगा.

Web

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check";

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

अगले चरण

अपने ऐप्लिकेशन में App Check की लाइब्रेरी इंस्टॉल करने के बाद, इसे डिप्लॉय करें.

अपडेट किया गया क्लाइंट ऐप्लिकेशन, Firebase को किए जाने वाले हर अनुरोध के साथ, App Check टोकन भेजना शुरू कर देगा. हालांकि, Firebase प्रॉडक्ट के लिए, टोकन के मान्य होने की ज़रूरत तब तक नहीं होगी, जब तक Firebase कंसोल के App Check सेक्शन में, लागू करने की सुविधा चालू नहीं कर दी जाती.

मेट्रिक मॉनिटर करना और लागू करने की सुविधा चालू करना

हालांकि, लागू करने की सुविधा चालू करने से पहले, आपको यह पक्का करना होगा कि ऐसा करने से, आपके मौजूदा सही उपयोगकर्ताओं को कोई परेशानी न हो. दूसरी ओर, अगर आपको अपने ऐप्लिकेशन के संसाधनों का संदिग्ध इस्तेमाल दिख रहा है, तो आपको लागू करने की सुविधा जल्द चालू करनी चाहिए.

यह फ़ैसला लेने में मदद पाने के लिए, उन सेवाओं के लिए App Check मेट्रिक देखें जिनका इस्तेमाल किया जाता है:

लागू करने की सुविधा चालू करनाApp Check

जब आपको यह पता चल जाए कि App Check से आपके उपयोगकर्ताओं पर क्या असर पड़ेगा और आप आगे बढ़ने के लिए तैयार हैं, तब App Check को लागू करने की सुविधा चालू की जा सकती है:

डीबग एनवायरमेंट में App Check का इस्तेमाल करना

अगर आपने App Check के लिए अपना ऐप्लिकेशन रजिस्टर कर लिया है और आपको अपने ऐप्लिकेशन को ऐसे एनवायरमेंट में चलाना है जिसे App Check आम तौर पर मान्य नहीं मानता है, तो अपने ऐप्लिकेशन का डीबग बिल्ड बनाया जा सकता है. जैसे, डेवलपमेंट के दौरान स्थानीय तौर पर या कंटीन्यूअस इंटिग्रेशन (सीआई) एनवायरमेंट से. यह बिल्ड, असली एटेस्टेशन की सेवा देने वाली कंपनी के बजाय, App Check की डीबग सेवा देने वाली कंपनी का इस्तेमाल करता है.

वेब ऐप्लिकेशन में, डीबग सेवा देने वाली कंपनी के साथ App Check का इस्तेमाल करना लेख पढ़ें.

लागत के बारे में जानकारी

App Check आपकी ओर से आकलन करता है, ताकि उपयोगकर्ता के जवाब वाले टोकन की पुष्टि की जा सके. जब भी आपका वेब ऐप्लिकेशन चलाने वाला ब्राउज़र, App Check टोकन रीफ़्रेश करता है, तो App Check आपकी ओर से आकलन करता है, ताकि उपयोगकर्ता के जवाब वाले टोकन की पुष्टि की जा सके.App Check बिना किसी शुल्क वाले कोटे से ज़्यादा बनाए गए हर आकलन के लिए, आपके प्रोजेक्ट से शुल्क लिया जाएगा. ज़्यादा जानकारी के लिए, reCAPTCHA की कीमत देखें.

डिफ़ॉल्ट रूप से, आपका वेब ऐप्लिकेशन इस टोकन को हर एक घंटे में दो बार रीफ़्रेश करेगा. यह कंट्रोल करने के लिए कि आपका ऐप्लिकेशन, App Check टोकन को कितनी बार रीफ़्रेश करता है (और इस वजह से, नए आकलन कितनी बार किए जाते हैं), इनके टीटीएल को कॉन्फ़िगर करें.