Habilite App Check con reCAPTCHA Enterprise en aplicaciones web

Esta página le muestra cómo habilitar App Check en una aplicación web, usando el proveedor reCAPTCHA Enterprise. Cuando habilita App Check, ayuda a garantizar que solo su aplicación pueda acceder a los recursos de Firebase de su proyecto. Ver un Vista general de esta característica.

reCAPTCHA Enterprise es un servicio pago con una cuota sin costo. Comprobar aplicación también es compatible con reCAPTCHA v3 , un servicio que es sin costo. Para conocer las diferencias entre reCAPTCHA v3 y reCAPTCHA Enterprise, consulte la comparación de las características .

Tenga en cuenta que App Check utiliza claves de sitio basadas en la puntuación de reCAPTCHA Enterprise, lo que hace que sea invisible para los usuarios. El proveedor de reCAPTCHA Enterprise no requerirá que los usuarios resuelvan un desafío en ningún momento.

Si desea utilizar la aplicación Comprobar con su propio proveedor personalizado, vea Implementar un proveedor Comprobar aplicación personalizada .

1. Configura tu proyecto de Firebase

  1. Añadir Firebase a su proyecto JavaScript si no lo ha hecho.

  2. Abrir el reCAPTCHA Empresa sección de la consola de la nube y hacer lo siguiente:

    1. Si se le solicita que habilite la API empresarial reCAPTCHA, hágalo.
    2. Crear un sitio web de tipo llave. Deberá especificar los dominios en los que aloja su aplicación web. Deje la opción "Usar desafío casilla de verificación" no seleccionados.
  3. Registre sus aplicaciones a utilizar la aplicación Consulte con el proveedor de reCAPTCHA Empresa en los Ajustes del proyecto> Aplicación Comprobar la sección de la consola Firebase. Deberá proporcionar la clave del sitio que obtuvo en el paso anterior.

    Por lo general, debe registrar todas las aplicaciones de su proyecto, ya que una vez que habilite la aplicación para un producto de Firebase, solo las aplicaciones registradas podrán acceder a los recursos de back-end del producto.

  4. Opcional: En la configuración de registro de aplicaciones, configurar una costumbre el tiempo de vida (TTL) para App Comprobar tokens emitido por el proveedor. Puede establecer el TTL en cualquier valor entre 30 minutos y 7 días. Al cambiar este valor, tenga en cuenta las siguientes ventajas y desventajas:

    • Seguridad: los TTL más cortos brindan una mayor seguridad, ya que reducen la ventana en la que un atacante puede abusar de un token filtrado o interceptado.
    • Rendimiento: los TTL más cortos significan que su aplicación realizará la atestación con más frecuencia. Debido a que el proceso de atestación de la aplicación agrega latencia a las solicitudes de red cada vez que se realiza, un TTL breve puede afectar el rendimiento de su aplicación.
    • Cuota y costo: los TTL más cortos y la recertificación frecuente agotan su cuota más rápido y, para los servicios pagos, pueden costar más. Ver las cuotas y límites .

    El TTL predeterminado de 1 hora, es razonable para la mayoría de aplicaciones. Tenga en cuenta que la biblioteca App Check actualiza los tokens aproximadamente a la mitad de la duración del TTL.

2. Agregue la biblioteca App Check a su aplicación

Añadir Firebase a su aplicación web si no lo ha hecho. Asegúrese de importar la biblioteca App Check.

3. Inicializar verificación de aplicaciones

Agregue el siguiente código de inicialización a su aplicación antes de acceder a cualquier servicio de Firebase. Usted tendrá que pasar su clave sitio de reCAPTCHA Enterprise, que ha creado en la consola de la nube, para activate() .

Web versión 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck, ReCaptchaEnterpriseProvider } = require("firebase/app-check");

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web versión 8

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

Una vez que la biblioteca App Check esté instalada en su aplicación, impleméntela.

La aplicación cliente actualizada comenzará a enviar tokens de verificación de aplicaciones junto con cada solicitud que haga a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilite la aplicación en la sección Verificación de aplicaciones de la consola de Firebase. Vea las siguientes dos secciones para más detalles.

4. Supervise las métricas de solicitud

Ahora que su aplicación actualizada está en manos de los usuarios, puede habilitar la aplicación de Verificación de aplicaciones para los productos de Firebase que usa. Sin embargo, antes de hacerlo, debe asegurarse de que hacerlo no interrumpirá a sus usuarios legítimos existentes.

Base de datos en tiempo real, Cloud Firestore y almacenamiento en la nube

Una herramienta importante que puede usar para tomar esta decisión para Realtime Database, Cloud Firestore y Cloud Storage es la pantalla de métricas de solicitud de verificación de la aplicación.

Para ver la solicitud Comprobar las métricas de la aplicación de un producto, abra la Configuración del proyecto> Aplicación Comprobar la sección de la consola Firebase. Por ejemplo:

Captura de pantalla de la página de métricas de App Check

Las métricas de solicitud para cada producto se dividen en cuatro categorías:

  • Solicitudes verificadas son los que tienen una aplicación válida Compruebe token. Después de habilitar el cumplimiento de App Check, solo las solicitudes en esta categoría tendrán éxito.

  • Solicitudes de los clientes que han sido superados son los que faltan un token Comprobar la aplicación. Estas solicitudes pueden provenir de una versión anterior del SDK de Firebase antes de que se incluyera App Check en la aplicación.

  • Solicitudes de origen desconocido son los que faltan una aplicación Compruebe razón, y no parece que vienen desde el SDK Firebase. Estos pueden provenir de solicitudes realizadas con claves API robadas o solicitudes falsificadas realizadas sin el SDK de Firebase.

  • Las solicitudes no válidas son aquellas que tienen una aplicación no válida Compruebe token, que puede ser desde un cliente no auténtico intento de hacerse pasar por su aplicación, o de ambientes emulados.

La distribución de estas categorías para su aplicación debe informarle cuándo decide habilitar la aplicación. Aquí hay algunas pautas:

  • Si casi todas las solicitudes recientes provienen de clientes verificados, considere habilitar la aplicación para comenzar a proteger sus recursos de back-end.

  • Si una parte significativa de las solicitudes recientes provienen de clientes probablemente obsoletos, para evitar interrumpir a los usuarios, considere esperar a que más usuarios actualicen su aplicación antes de habilitar la aplicación. Hacer cumplir App Check en una aplicación lanzada romperá las versiones anteriores de la aplicación que no están integradas con el SDK de App Check.

  • Si su aplicación aún no se ha lanzado, debe habilitar la ejecución de App Check de inmediato, ya que no hay ningún cliente obsoleto en uso.

Funciones en la nube

Para Cloud Functions, puede obtener métricas de App Check examinando los registros de sus funciones. Cada invocación de una función invocable emite una entrada de registro estructurada como el siguiente ejemplo:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Se pueden analizar estas métricas en Google Cloud Console mediante la creación de unos registros basados en el contador métrico con el siguiente filtro métrica:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Etiquetar la métrica utilizando el campo jsonPayload.verifications.appCheck .

5. Habilitar la aplicación

Para habilitar la aplicación, siga las instrucciones para cada producto, a continuación. Una vez que habilite la aplicación para un producto, se rechazarán todas las solicitudes no verificadas a ese producto.

Base de datos en tiempo real, Cloud Firestore y almacenamiento en la nube

Para habilitar la aplicación de Realtime Database, Cloud Firestore (iOS y Android) y Cloud Storage:

  1. Abrir el Registro Ajustes del proyecto> Aplicación sección de la consola Firebase.

  2. Expanda la vista de métricas del producto para el que desea habilitar la aplicación.

  3. Haga clic en Hacer cumplir y confirmar su elección.

Tenga en cuenta que pueden pasar hasta 10 minutos después de habilitar la aplicación para que surta efecto.

Funciones en la nube

Consulte Activar la aplicación Verificar el cumplimiento de las funciones de la nube .

Nota sobre el costo

App Check crea una evaluación en su nombre para validar el token de respuesta del usuario cada vez que un navegador que ejecuta su aplicación web actualiza su token de App Check. Se le cobrará a su proyecto por cada evaluación creada por encima de la cuota sin costo. Ver reCAPTCHA Empresa precios para más detalles.

Por defecto, su aplicación web se actualizará este token dos veces cada 1 hora. Para el control de la frecuencia con sus refresca App Verificar fichas (y por lo tanto la frecuencia con la que se crean nuevas evaluaciones), configurar su TTL .

Próximos pasos

Si, después de haber registrado su aplicación para App Check, desea ejecutar su aplicación en un entorno que App Check normalmente no clasificaría como válido, como localmente durante el desarrollo o desde un entorno de integración continua (CI), puede crear una compilación de depuración de su aplicación que usa el proveedor de depuración de App Check en lugar de un proveedor de atestación real.

Consulte Uso de aplicaciones Compruebe con el proveedor de depuración en aplicaciones web .