Bắt đầu sử dụng Kiểm tra ứng dụng với reCAPTCHA Enterprise trong ứng dụng web

Trang này hướng dẫn bạn cách bật Kiểm tra ứng dụng trong ứng dụng web bằng cách sử dụng nhà cung cấp reCAPTCHA Enterprise. Khi bật Kiểm tra ứng dụng, bạn giúp đảm bảo rằng chỉ ứng dụng của bạn mới có thể truy cập tài nguyên Firebase của dự án. Xem Tổng quan về tính năng này.

Xin lưu ý rằng Kiểm tra ứng dụng sử dụng khóa trang web dựa trên điểm số reCAPTCHA Enterprise, giúp người dùng không thể nhìn thấy khóa này. Nhà cung cấp reCAPTCHA Enterprise sẽ không yêu cầu người dùng giải quyết thử thách bất cứ lúc nào.

Nếu bạn muốn sử dụng Kiểm tra ứng dụng với nhà cung cấp tùy chỉnh của riêng mình, hãy xem Triển khai nhà cung cấp Kiểm tra ứng dụng tùy chỉnh .

1. Thiết lập dự án Firebase của bạn

  1. Thêm Firebase vào dự án JavaScript của bạn nếu bạn chưa làm như vậy.

  2. Mở phần reCAPTCHA Enterprise của Cloud console và thực hiện như sau:

    1. Nếu bạn được nhắc bật API reCAPTCHA Enterprise, hãy làm như vậy.
    2. Tạo khóa loại trang web . Bạn sẽ cần chỉ định các miền mà bạn lưu trữ ứng dụng web của mình. Bỏ chọn tùy chọn "Sử dụng thử thách hộp kiểm".
  3. Đăng ký ứng dụng của bạn để sử dụng Kiểm tra ứng dụng với nhà cung cấp reCAPTCHA Enterprise trong phần Kiểm tra ứng dụng của bảng điều khiển Firebase. Bạn sẽ cần cung cấp khóa trang web bạn có ở bước trước.

    Bạn thường cần phải đăng ký tất cả các ứng dụng trong dự án của mình, vì sau khi bạn kích hoạt tính năng thực thi cho sản phẩm Firebase, chỉ những ứng dụng đã đăng ký mới có thể truy cập vào tài nguyên phụ trợ của sản phẩm.

  4. Tùy chọn : Trong cài đặt đăng ký ứng dụng, đặt thời gian tồn tại (TTL) tùy chỉnh cho mã thông báo Kiểm tra ứng dụng do nhà cung cấp phát hành. Bạn có thể đặt TTL thành bất kỳ giá trị nào trong khoảng thời gian từ 30 phút đến 7 ngày. Khi thay đổi giá trị này, hãy lưu ý đến những cân bằng sau:

    • Bảo mật: TTL ngắn hơn mang lại khả năng bảo mật mạnh mẽ hơn vì nó làm giảm nguy cơ kẻ tấn công có thể lạm dụng mã thông báo bị rò rỉ hoặc bị chặn.
    • Hiệu suất: TTL ngắn hơn có nghĩa là ứng dụng của bạn sẽ thực hiện chứng thực thường xuyên hơn. Vì quy trình chứng thực ứng dụng tăng thêm độ trễ cho các yêu cầu mạng mỗi khi yêu cầu được thực hiện nên một TTL ngắn có thể ảnh hưởng đến hiệu suất ứng dụng của bạn.
    • Hạn ngạch và chi phí: TTL ngắn hơn và việc chứng thực lại thường xuyên sẽ làm cạn kiệt hạn ngạch của bạn nhanh hơn và đối với các dịch vụ trả phí, chi phí có thể cao hơn. Xem Hạn ngạch & giới hạn .

    TTL mặc định là 1 giờ là hợp lý đối với hầu hết các ứng dụng. Lưu ý rằng thư viện Kiểm tra ứng dụng làm mới mã thông báo với thời lượng khoảng một nửa TTL.

2. Thêm thư viện Kiểm tra ứng dụng vào ứng dụng của bạn

Thêm Firebase vào ứng dụng web của bạn nếu bạn chưa có. Đảm bảo nhập thư viện Kiểm tra ứng dụng.

3. Khởi tạo kiểm tra ứng dụng

Thêm mã khởi tạo sau vào ứng dụng của bạn trước khi bạn truy cập bất kỳ dịch vụ Firebase nào. Bạn sẽ cần chuyển khóa trang web reCAPTCHA Enterprise mà bạn đã tạo trong Bảng điều khiển đám mây để activate() .

Web modular API

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check";

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web namespaced API

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

Bước tiếp theo

Sau khi thư viện Kiểm tra ứng dụng được cài đặt trong ứng dụng của bạn, hãy triển khai nó.

Ứng dụng khách đã cập nhật sẽ bắt đầu gửi mã thông báo Kiểm tra ứng dụng cùng với mọi yêu cầu được đưa ra tới Firebase, nhưng các sản phẩm Firebase sẽ không yêu cầu mã thông báo hợp lệ cho đến khi bạn bật tính năng thực thi trong phần Kiểm tra ứng dụng của bảng điều khiển Firebase.

Theo dõi số liệu và cho phép thực thi

Tuy nhiên, trước khi kích hoạt tính năng thực thi, bạn phải đảm bảo rằng việc làm như vậy sẽ không làm gián đoạn những người dùng hợp pháp hiện tại của bạn. Mặt khác, nếu nhận thấy việc sử dụng tài nguyên ứng dụng của mình một cách đáng ngờ, bạn có thể muốn bật tính năng thực thi sớm hơn.

Để giúp đưa ra quyết định này, bạn có thể xem số liệu Kiểm tra ứng dụng cho các dịch vụ bạn sử dụng:

Bật thực thi Kiểm tra ứng dụng

Khi bạn hiểu cách Kiểm tra ứng dụng sẽ ảnh hưởng đến người dùng của mình và bạn đã sẵn sàng tiếp tục, bạn có thể bật thực thi Kiểm tra ứng dụng:

Sử dụng Kiểm tra ứng dụng trong môi trường gỡ lỗi

Nếu sau khi đăng ký ứng dụng của mình cho Kiểm tra ứng dụng, bạn muốn chạy ứng dụng của mình trong môi trường mà Kiểm tra ứng dụng thường không phân loại là hợp lệ, chẳng hạn như cục bộ trong quá trình phát triển hoặc từ môi trường tích hợp liên tục (CI), bạn có thể tạo bản dựng gỡ lỗi của ứng dụng sử dụng nhà cung cấp gỡ lỗi Kiểm tra ứng dụng thay vì nhà cung cấp chứng thực thực sự.

Xem Sử dụng Kiểm tra ứng dụng với nhà cung cấp gỡ lỗi trong ứng dụng web .

Lưu ý về chi phí

Kiểm tra ứng dụng thay mặt bạn tạo một đánh giá để xác thực mã thông báo phản hồi của người dùng mỗi khi trình duyệt chạy ứng dụng web của bạn làm mới mã thông báo Kiểm tra ứng dụng. Dự án của bạn sẽ bị tính phí cho mỗi đánh giá được tạo vượt quá hạn mức miễn phí. Xem giá reCAPTCHA Enterprise để biết chi tiết.

Theo mặc định, ứng dụng web của bạn sẽ làm mới mã thông báo này hai lần cứ sau 1 giờ . Để kiểm soát tần suất ứng dụng của bạn làm mới Mã kiểm tra ứng dụng (và do đó tần suất tạo các đánh giá mới), hãy định cấu hình TTL của chúng .