ابدأ باستخدام App Check مع reCAPTCHA Enterprise في تطبيقات الويب

توضح لك هذه الصفحة كيفية تمكين التحقق من التطبيق في تطبيق ويب، باستخدام موفر reCAPTCHA Enterprise. عند تمكين التحقق من التطبيق، فإنك تساعد في ضمان أن تطبيقك فقط يمكنه الوصول إلى موارد Firebase الخاصة بمشروعك. انظر نظرة عامة على هذه الميزة.

لاحظ أن App Check يستخدم مفاتيح موقع reCAPTCHA Enterprise المستندة إلى النتائج، مما يجعلها غير مرئية للمستخدمين. لن يطلب موفر reCAPTCHA Enterprise من المستخدمين حل التحدي في أي وقت.

إذا كنت تريد استخدام التحقق من التطبيق مع الموفر المخصص الخاص بك، فراجع تنفيذ موفر التحقق من التطبيق المخصص .

1. قم بإعداد مشروع Firebase الخاص بك

  1. أضف Firebase إلى مشروع JavaScript الخاص بك إذا لم تكن قد قمت بذلك بالفعل.

  2. افتح قسم reCAPTCHA Enterprise في وحدة التحكم السحابية وقم بما يلي:

    1. إذا تمت مطالبتك بتمكين reCAPTCHA Enterprise API، فقم بذلك.
    2. قم بإنشاء مفتاح نوع موقع الويب . ستحتاج إلى تحديد المجالات التي تستضيف تطبيق الويب الخاص بك عليها. اترك خيار "استخدام اختبار مربع الاختيار" غير محدد .
  3. قم بتسجيل تطبيقاتك لاستخدام التحقق من التطبيق مع موفر خدمة reCAPTCHA Enterprise في قسم التحقق من التطبيق في وحدة تحكم Firebase. سوف تحتاج إلى تقديم مفتاح الموقع الذي حصلت عليه في الخطوة السابقة.

    تحتاج عادةً إلى تسجيل جميع تطبيقات مشروعك، لأنه بمجرد تمكين التنفيذ لمنتج Firebase، ستتمكن التطبيقات المسجلة فقط من الوصول إلى موارد الواجهة الخلفية للمنتج.

  4. اختياري : في إعدادات تسجيل التطبيق، قم بتعيين مدة بقاء (TTL) مخصصة لرموز التحقق من التطبيق الصادرة عن الموفر. يمكنك ضبط TTL على أي قيمة تتراوح بين 30 دقيقة و7 أيام. عند تغيير هذه القيمة، كن على دراية بالمقايضات التالية:

    • الأمان: توفر TTLs الأقصر أمانًا أقوى، لأنها تقلل من النافذة التي يمكن من خلالها إساءة استخدام الرمز المميز المسرب أو المعترض من قبل مهاجم.
    • الأداء: تعني مدة البقاء الأقصر أن تطبيقك سيجري عملية التصديق بشكل متكرر أكثر. نظرًا لأن عملية مصادقة التطبيق تضيف زمن الوصول إلى طلبات الشبكة في كل مرة يتم تنفيذها، فقد يؤثر TTL القصير على أداء تطبيقك.
    • الحصة والتكلفة: تستنزف مدة البقاء الأقصر وإعادة التصديق المتكررة حصتك بشكل أسرع، ومن المحتمل أن تكون تكلفة الخدمات المدفوعة أكثر. راجع الحصص والحدود .

    يعد TTL الافتراضي الذي يبلغ ساعة واحدة معقولًا لمعظم التطبيقات. لاحظ أن مكتبة التحقق من التطبيق تقوم بتحديث الرموز المميزة بنصف مدة TTL تقريبًا.

2. أضف مكتبة التحقق من التطبيق إلى تطبيقك

أضف Firebase إلى تطبيق الويب الخاص بك إذا لم تقم بذلك بالفعل. تأكد من استيراد مكتبة التحقق من التطبيق.

3. تهيئة فحص التطبيق

أضف رمز التهيئة التالي إلى تطبيقك، قبل الوصول إلى أي من خدمات Firebase. ستحتاج إلى تمرير مفتاح موقع reCAPTCHA Enterprise، الذي قمت بإنشائه في وحدة التحكم السحابية، activate() .

Web modular API

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check";

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web namespaced API

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

الخطوات التالية

بمجرد تثبيت مكتبة التحقق من التطبيقات في تطبيقك، قم بنشرها.

سيبدأ تطبيق العميل المحدث في إرسال رموز التحقق من التطبيق مع كل طلب يقدمه إلى Firebase، ولكن منتجات Firebase لن تتطلب أن تكون الرموز المميزة صالحة حتى تقوم بتمكين التنفيذ في قسم التحقق من التطبيق في وحدة تحكم Firebase.

مراقبة المقاييس وتمكين التنفيذ

ومع ذلك، قبل تمكين التنفيذ، يجب عليك التأكد من أن القيام بذلك لن يؤدي إلى تعطيل المستخدمين الشرعيين الحاليين لديك. ومن ناحية أخرى، إذا كنت ترى استخدامًا مريبًا لموارد تطبيقك، فقد ترغب في تمكين التنفيذ عاجلاً.

للمساعدة في اتخاذ هذا القرار، يمكنك الاطلاع على مقاييس التحقق من التطبيق للخدمات التي تستخدمها:

تمكين فرض التحقق من التطبيق

عندما تفهم كيف سيؤثر التحقق من التطبيق على المستخدمين لديك وتكون جاهزًا للمتابعة، يمكنك تمكين فرض التحقق من التطبيق:

استخدم التحقق من التطبيق في بيئات تصحيح الأخطاء

إذا كنت تريد، بعد تسجيل تطبيقك للتحقق من التطبيق، تشغيل تطبيقك في بيئة لا يصنفها فحص التطبيق عادةً على أنها صالحة، مثل محليًا أثناء التطوير، أو من بيئة التكامل المستمر (CI)، فيمكنك إنشاء بناء تصحيح الأخطاء لتطبيقك الذي يستخدم موفر تصحيح أخطاء التحقق من التطبيق بدلاً من موفر التصديق الحقيقي.

راجع استخدام التحقق من التطبيق مع موفر تصحيح الأخطاء في تطبيقات الويب .

ملاحظة على التكلفة

يقوم التحقق من التطبيق بإنشاء تقييم نيابة عنك للتحقق من صحة رمز استجابة المستخدم في كل مرة يقوم فيها المتصفح الذي يقوم بتشغيل تطبيق الويب الخاص بك بتحديث رمز التحقق من التطبيق الخاص به. سيتم فرض رسوم على مشروعك مقابل كل تقييم يتم إنشاؤه فوق الحصة النسبية بدون تكلفة. راجع تسعير reCAPTCHA Enterprise للحصول على التفاصيل.

افتراضيًا، سيقوم تطبيق الويب الخاص بك بتحديث هذا الرمز المميز مرتين كل ساعة . للتحكم في عدد مرات تحديث تطبيقك لرموز التحقق من التطبيق (وبالتالي عدد مرات إنشاء التقييمات الجديدة)، قم بتكوين TTL الخاصة بها .