Comience a usar App Check con reCAPTCHA Enterprise en aplicaciones web

Esta página le muestra cómo habilitar App Check en una aplicación web, utilizando el proveedor reCAPTCHA Enterprise. Cuando habilitas App Check, ayudas a garantizar que solo tu aplicación pueda acceder a los recursos de Firebase de tu proyecto. Vea una descripción general de esta característica.

Tenga en cuenta que App Check utiliza claves de sitio basadas en puntuaciones de reCAPTCHA Enterprise, que la hacen invisible para los usuarios. El proveedor de reCAPTCHA Enterprise no requerirá que los usuarios resuelvan un desafío en ningún momento.

Si desea utilizar App Check con su propio proveedor personalizado, consulte Implementar un proveedor de App Check personalizado .

1. Configura tu proyecto de Firebase

  1. Agrega Firebase a tu proyecto de JavaScript si aún no lo has hecho.

  2. Abra la sección reCAPTCHA Enterprise de la consola de la nube y haga lo siguiente:

    1. Si se le solicita que habilite la API reCAPTCHA Enterprise, hágalo.
    2. Cree una clave de tipo sitio web . Deberá especificar los dominios en los que aloja su aplicación web. Deje la opción "Usar desafío de casilla de verificación" sin seleccionar .
  3. Registre sus aplicaciones para usar App Check con el proveedor reCAPTCHA Enterprise en la sección App Check de Firebase console. Deberá proporcionar la clave del sitio que obtuvo en el paso anterior.

    Por lo general, debes registrar todas las aplicaciones de tu proyecto, porque una vez que habilitas la aplicación de medidas para un producto de Firebase, solo las aplicaciones registradas podrán acceder a los recursos backend del producto.

  4. Opcional : en la configuración de registro de la aplicación, establezca un tiempo de vida (TTL) personalizado para los tokens de verificación de aplicaciones emitidos por el proveedor. Puede configurar el TTL en cualquier valor entre 30 minutos y 7 días. Al cambiar este valor, tenga en cuenta las siguientes compensaciones:

    • Seguridad: Los TTL más cortos proporcionan una mayor seguridad, porque reducen la ventana en la que un atacante puede abusar de un token filtrado o interceptado.
    • Rendimiento: los TTL más cortos significan que su aplicación realizará la certificación con más frecuencia. Debido a que el proceso de certificación de aplicaciones agrega latencia a las solicitudes de red cada vez que se realiza, un TTL corto puede afectar el rendimiento de su aplicación.
    • Cuota y costo: los TTL más cortos y las repetidas certificaciones frecuentes agotan su cuota más rápido y, en el caso de los servicios pagos, potencialmente cuestan más. Consulte Cuotas y límites .

    El TTL predeterminado de 1 hora es razonable para la mayoría de las aplicaciones. Tenga en cuenta que la biblioteca App Check actualiza los tokens aproximadamente a la mitad de la duración del TTL.

2. Agregue la biblioteca App Check a su aplicación

Agrega Firebase a tu aplicación web si aún no lo has hecho. Asegúrese de importar la biblioteca App Check.

3. Inicializar la verificación de la aplicación

Agregue el siguiente código de inicialización a su aplicación antes de acceder a cualquier servicio de Firebase. Deberá pasar su clave de sitio reCAPTCHA Enterprise, que creó en la consola de la nube, para activate() .

Web modular API

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check";

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web namespaced API

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

Próximos pasos

Una vez que la biblioteca App Check esté instalada en su aplicación, impleméntela.

La aplicación cliente actualizada comenzará a enviar tokens de App Check junto con cada solicitud que realice a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección App Check de Firebase console.

Supervise las métricas y permita la aplicación de la ley

Sin embargo, antes de habilitar la aplicación de medidas, debe asegurarse de que hacerlo no interrumpa a sus usuarios legítimos existentes. Por otro lado, si observa un uso sospechoso de los recursos de su aplicación, es posible que desee habilitar la aplicación de medidas antes.

Para ayudar a tomar esta decisión, puede consultar las métricas de App Check para los servicios que utiliza:

Habilitar la aplicación de verificación de aplicaciones

Cuando comprenda cómo afectará App Check a sus usuarios y esté listo para continuar, podrá habilitar la aplicación de App Check:

Utilice App Check en entornos de depuración

Si, después de haber registrado su aplicación para App Check, desea ejecutar su aplicación en un entorno que App Check normalmente no clasificaría como válido, como localmente durante el desarrollo, o desde un entorno de integración continua (CI), puede crear una compilación de depuración de su aplicación que utiliza el proveedor de depuración App Check en lugar de un proveedor de certificación real.

Consulte Usar App Check con el proveedor de depuración en aplicaciones web .

Nota sobre el costo

App Check crea una evaluación en su nombre para validar el token de respuesta del usuario cada vez que un navegador que ejecuta su aplicación web actualiza su token de App Check. A su proyecto se le cobrará por cada evaluación creada por encima de la cuota sin costo. Consulte los precios de reCAPTCHA Enterprise para obtener más detalles.

De forma predeterminada, su aplicación web actualizará este token dos veces cada hora . Para controlar la frecuencia con la que su aplicación actualiza los tokens de App Check (y, por lo tanto, la frecuencia con la que se crean nuevas evaluaciones), configure su TTL .