Bắt đầu sử dụng tính năng Kiểm tra ứng dụng bằng reCAPTCHA Enterprise trong ứng dụng web

Trang này hướng dẫn bạn cách bật tính năng App Check trong một ứng dụng web bằng cách sử dụng nhà cung cấp reCAPTCHA Enterprise. Khi bật tính năng App Check, bạn sẽ giúp đảm bảo rằng chỉ ứng dụng của bạn mới có thể truy cập vào tài nguyên phụ trợ của dự án. Xem bài viết Tổng quan về tính năng này.

Xin lưu ý rằng App Check sử dụng khoá trang web dựa trên điểm số reCAPTCHA Enterprise, giúp người dùng không nhìn thấy khoá này. Nhà cung cấp reCAPTCHA Enterprise sẽ không yêu cầu người dùng giải một thử thách vào bất kỳ thời điểm nào.

Nếu trường hợp sử dụng của bạn yêu cầu các tính năng reCAPTCHA Enterprise mà App Check chưa triển khai hoặc nếu bạn muốn sử dụng App Check với nhà cung cấp tuỳ chỉnh của riêng mình, hãy xem bài viết Triển khai nhà cung cấp tuỳ chỉnh cho App Check.

1. Thiết lập dự án Firebase

Thêm Firebase vào dự án JavaScript nếu bạn chưa thực hiện.
Mở phần reCAPTCHA Enterprise của bảng điều khiển Cloud rồi làm như sau:
1. Nếu được nhắc bật reCAPTCHA Enterprise API, hãy bật.
2. Tạo khoá thuộc loại Trang web. Bạn cần chỉ định các miền mà bạn lưu trữ ứng dụng web. Hãy bỏ chọn tuỳ chọn "Sử dụng thử thách hộp kiểm".
Đăng ký ứng dụng của bạn để sử dụng App Check với nhà cung cấp reCAPTCHA Enterprise trong phần App Check của bảng điều khiển Firebase. Bạn cần cung cấp khoá trang web mà bạn đã nhận được ở bước trước.

Thông thường, bạn cần đăng ký tất cả ứng dụng của dự án vì sau khi bạn bật tính năng thực thi cho một sản phẩm Firebase, chỉ những ứng dụng đã đăng ký mới có thể truy cập vào tài nguyên phụ trợ của sản phẩm đó.
Không bắt buộc: Trong phần cài đặt đăng ký ứng dụng, hãy đặt thời gian tồn tại (TTL) tuỳ chỉnh cho mã thông báo do nhà cung cấp phát hành.App Check Bạn có thể đặt TTL thành bất kỳ giá trị nào trong khoảng từ 30 phút đến 7 ngày. Khi thay đổi giá trị này, hãy lưu ý những điểm đánh đổi sau:
- Bảo mật: TTL ngắn hơn giúp tăng cường bảo mật vì giảm khoảng thời gian mà kẻ tấn công có thể lợi dụng mã thông báo bị rò rỉ hoặc bị chặn.
- Hiệu suất: TTL ngắn hơn có nghĩa là ứng dụng của bạn sẽ thực hiện chứng thực thường xuyên hơn. Vì quy trình chứng thực ứng dụng sẽ thêm độ trễ vào các yêu cầu mạng mỗi khi được thực hiện, nên TTL ngắn có thể ảnh hưởng đến hiệu suất của ứng dụng.
- Hạn mức và chi phí: TTL ngắn hơn và việc chứng thực lại thường xuyên sẽ làm cạn kiệt hạn mức nhanh hơn và đối với các dịch vụ trả phí, có thể tốn kém hơn. Xem bài viết Hạn mức và giới hạn.
TTL mặc định là 1 giờ , phù hợp với hầu hết các ứng dụng. Xin lưu ý rằng thư viện App Check sẽ làm mới mã thông báo ở khoảng một nửa thời lượng TTL.

Định cấu hình chế độ cài đặt nâng cao (không bắt buộc)

Khi người dùng truy cập vào ứng dụng web của bạn, reCAPTCHA Enterprise sẽ đánh giá mức độ rủi ro mà lượt tương tác của người dùng gây ra và trả về điểm số từ 0,0 đến 1,0, theo mức tăng 0,1. Điểm số 1,0 cho biết hoạt động tương tác có mức độ rủi ro thấp và rất có khả năng là hợp lệ, trong khi 0,0 cho biết hoạt động tương tác có mức độ rủi ro cao và có thể là gian lận. App Check cho phép bạn định cấu hình ngưỡng rủi ro ứng dụng để có thể điều chỉnh mức độ chấp nhận rủi ro này.

Đối với hầu hết các trường hợp sử dụng, bạn nên sử dụng giá trị ngưỡng mặc định là 0,5. Nếu trường hợp sử dụng của bạn yêu cầu điều chỉnh, bạn có thể định cấu hình trong phần App Check của bảng điều khiển Firebase cho từng ứng dụng web.

Thông tin chi tiết

App Check sử dụng ngưỡng rủi ro ứng dụng mà bạn đã định cấu hình làm điểm số reCAPTCHA Enterprise tối thiểu cần thiết để lượt tương tác của người dùng được coi là hợp lệ. Tất cả điểm số reCAPTCHA Enterprise nhỏ hơn nghiêm ngặt so với ngưỡng bạn đã định cấu hình sẽ bị từ chối. Khi điều chỉnh ngưỡng rủi ro ứng dụng, hãy lưu ý những điều sau:

Trong số 11 cấp điểm reCAPTCHA Enterprise có thể có, chỉ có 4 cấp điểm sau đây có sẵn trước khi bạn thêm tài khoản thanh toán Google Cloud vào dự án: 0,1, 0,3, 0,7 và 0,9. Trong thời gian này, App Check sẽ tương ứng chỉ cho phép các giá trị ngưỡng rủi ro ứng dụng là 0,1, 0,3, 0,5, 0,7, và 0,9. Bạn vẫn nên sử dụng giá trị ngưỡng rủi ro ứng dụng là 0,5 cho hầu hết các trường hợp sử dụng.
- Để bật tất cả 11 cấp điểm số reCAPTCHA Enterprise, hãy thêm tài khoản thanh toán Google Cloud vào dự án. Một trong những cách để thực hiện việc này là nâng cấp lên gói giá Blaze. Sau khi bạn thực hiện xong, App Check sẽ cho phép bạn định cấu hình mọi giá trị ngưỡng rủi ro ứng dụng trong khoảng từ 0,0 đến 1,0, theo mức tăng 0,1.
  
  Lưu ý: Sau khi tài khoản thanh toán Google Cloud được thêm vào dự án, một quy trình xem xét bảo mật tự động sẽ được kích hoạt cho dự án của bạn. Để biết thêm thông tin, hãy xem tài liệu về reCAPTCHA Enterprise.
Để theo dõi tình trạng phân bổ điểm số reCAPTCHA Enterprise cao và thấp cho ứng dụng web, hãy truy cập vào trang reCAPTCHA Enterprise trong Google Cloud console rồi chọn khoá trang web mà ứng dụng web của bạn sử dụng.
Nếu bạn có mức độ chấp nhận rủi ro ứng dụng thấp, hãy di chuyển thanh trượt sang trái để tăng ngưỡng rủi ro ứng dụng.
- Bạn không nên sử dụng giá trị 1, 0 vì chế độ cài đặt này cũng có thể từ chối quyền truy cập đối với những người dùng hợp lệ không đáp ứng ngưỡng tin cậy cao này.
Cảnh báo: Trước khi tăng ngưỡng rủi ro ứng dụng, bạn nên cân nhắc việc tạm thời không thực thi tính năng bảo vệ của tính năng Kiểm tra ứng dụng cho tất cả các dịch vụ hiện đang được thực thi để tránh làm gián đoạn người dùng hợp lệ. Bạn nên theo dõi các chỉ số yêu cầu của tính năng Kiểm tra ứng dụng để xác minh rằng lưu lượng truy cập không bị gián đoạn trước khi tiếp tục thực thi.
Nếu bạn có mức độ chấp nhận rủi ro ứng dụng cao, hãy di chuyển thanh trượt sang phải để giảm ngưỡng rủi ro ứng dụng.
- Bạn không nên sử dụng giá trị 0, 0 vì chế độ cài đặt này sẽ tắt tính năng bảo vệ chống lạm dụng.

Hãy tham khảo tài liệu về reCAPTCHA Enterprise để biết thêm thông tin chi tiết.

2. Thêm thư viện App Check vào ứng dụng

Thêm Firebase vào ứng dụng web nếu bạn chưa thực hiện. Nhớ nhập thư viện App Check.

3. Khởi chạy App Check

Thêm mã khởi chạy sau đây vào ứng dụng của bạn trước khi bạn truy cập vào bất kỳ dịch vụ Firebase nào. Bạn cần truyền khoá trang web reCAPTCHA Enterprise mà bạn đã tạo trong bảng điều khiển Cloud vào activate().

Web

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check";

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

Các bước tiếp theo

Sau khi cài đặt thư viện App Check trong ứng dụng, hãy triển khai thư viện đó.

Ứng dụng khách đã cập nhật sẽ bắt đầu gửi mã thông báo App Check cùng với mọi yêu cầu mà ứng dụng đó gửi đến Firebase, nhưng các sản phẩm Firebase sẽ không yêu cầu mã thông báo phải hợp lệ cho đến khi bạn bật tính năng thực thi trong phần App Check của bảng điều khiển Firebase.

Theo dõi các chỉ số và bật tính năng thực thi

Tuy nhiên, trước khi bật tính năng thực thi, bạn nên đảm bảo rằng việc này sẽ không làm gián đoạn những người dùng hợp lệ hiện tại. Mặt khác, nếu thấy có hành vi sử dụng đáng ngờ đối với tài nguyên ứng dụng, bạn có thể muốn bật tính năng thực thi sớm hơn.

Để giúp đưa ra quyết định này, bạn có thể xem các chỉ số App Check cho các dịch vụ mà bạn sử dụng:

Theo dõi các chỉ số yêu cầuApp Checkcho Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity for iOS, Maps JavaScript API và Places API (Mới).
Theo dõi các chỉ số yêu cầu của App Check cho Cloud Functions.

Bật tính năng thực thi của App Check

Khi hiểu rõ cách App Check sẽ ảnh hưởng đến người dùng và bạn đã sẵn sàng tiếp tục, bạn có thể bật tính năng thực thi của App Check:

Bật tính năng thực thiApp Checkcho Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity for iOS, Maps JavaScript API và Places API (Mới).
Bật tính năng thực thi của App Check cho Cloud Functions.

Sử dụng App Check trong môi trường gỡ lỗi

Nếu sau khi đăng ký ứng dụng cho App Check, bạn muốn chạy ứng dụng trong một môi trường mà App Check thường không phân loại là hợp lệ, chẳng hạn như cục bộ trong quá trình phát triển hoặc từ môi trường tích hợp liên tục (CI), thì bạn có thể tạo bản dựng gỡ lỗi của ứng dụng sử dụng nhà cung cấp gỡ lỗi của App Check thay vì nhà cung cấp chứng thực thực.

Xem bài viết Sử dụng App Check với nhà cung cấp gỡ lỗi trong ứng dụng web.

Lưu ý về chi phí

App Check tạo một bài đánh giá thay cho bạn để xác thực mã thông báo phản hồi của người dùng mỗi khi trình duyệt chạy ứng dụng web của bạn làm mới mã thông báo App Check. Dự án của bạn sẽ bị tính phí cho mỗi bài đánh giá được tạo vượt quá hạn mức miễn phí. Xem bài viết Giá reCAPTCHA để biết thông tin chi tiết.

Theo mặc định, ứng dụng web của bạn sẽ làm mới mã thông báo này 2 lần mỗi 1 giờ. Để kiểm soát tần suất ứng dụng của bạn làm mới mã thông báo App Check (và do đó, tần suất tạo bài đánh giá mới), hãy định cấu hình TTL của các mã thông báo đó.