فعال کردن بررسی برنامه با reCAPTCHA Enterprise در برنامه های وب

این صفحه به شما نشان می دهد که چگونه با استفاده از ارائه دهنده reCAPTCHA Enterprise، بررسی برنامه را در یک برنامه وب فعال کنید. وقتی برنامه بررسی را فعال می‌کنید، مطمئن می‌شوید که فقط برنامه شما می‌تواند به منابع Firebase پروژه شما دسترسی داشته باشد. مروری بر این ویژگی را ببینید.

reCAPTCHA Enterprise یک سرویس پولی با سهمیه بدون هزینه است. App Check از reCAPTCHA v3 نیز پشتیبانی می کند، سرویسی که هزینه ای ندارد. برای یادگیری تفاوت‌های بین reCAPTCHA v3 و reCAPTCHA Enterprise، به مقایسه ویژگی‌ها مراجعه کنید.

توجه داشته باشید که App Check از کلیدهای سایت مبتنی بر امتیاز reCAPTCHA Enterprise استفاده می کند که آن را برای کاربران نامرئی می کند. ارائه‌دهنده reCAPTCHA Enterprise از کاربران برای حل یک چالش در هر زمانی نمی‌خواهد.

اگر می‌خواهید از App Check با ارائه‌دهنده سفارشی خود استفاده کنید، به اجرای یک ارائه‌دهنده بررسی برنامه سفارشی مراجعه کنید.

1. پروژه Firebase خود را راه اندازی کنید

  1. اگر قبلاً این کار را نکرده اید، Firebase را به پروژه جاوا اسکریپت خود اضافه کنید .

  2. بخش reCAPTCHA Enterprise را در کنسول Cloud باز کنید و کارهای زیر را انجام دهید:

    1. اگر از شما خواسته شد که reCAPTCHA Enterprise API را فعال کنید، این کار را انجام دهید.
    2. یک کلید نوع وب سایت ایجاد کنید. باید دامنه‌هایی را مشخص کنید که برنامه وب خود را روی آنها میزبانی می‌کنید. گزینه «استفاده از چالش باکس» را بدون انتخاب رها کنید.
  3. برنامه های خود را برای استفاده از App Check با ارائه دهنده reCAPTCHA Enterprise در بخش App Check کنسول Firebase ثبت کنید. شما باید کلید سایتی را که در مرحله قبل دریافت کرده اید ارائه دهید.

    معمولاً باید همه برنامه‌های پروژه خود را ثبت کنید، زیرا پس از فعال کردن اجرای یک محصول Firebase، فقط برنامه‌های ثبت‌شده می‌توانند به منابع پشتیبان محصول دسترسی داشته باشند.

  4. اختیاری : در تنظیمات ثبت برنامه، زمان سفارشی (TTL) را برای نشانه‌های بررسی برنامه صادر شده توسط ارائه‌دهنده تنظیم کنید. می توانید TTL را روی هر مقداری بین 30 دقیقه تا 7 روز تنظیم کنید. هنگام تغییر این مقدار، به معاوضه های زیر توجه داشته باشید:

    • امنیت: TTL‌های کوتاه‌تر امنیت قوی‌تری را فراهم می‌کنند، زیرا پنجره‌ای را کاهش می‌دهد که در آن توکن لو رفته یا رهگیری شده توسط مهاجم مورد سوء استفاده قرار می‌گیرد.
    • عملکرد: TTLهای کوتاهتر به این معنی است که برنامه شما به دفعات بیشتری گواهی را انجام می دهد. از آنجایی که فرآیند تأیید برنامه هر بار که انجام می شود به درخواست های شبکه تاخیر اضافه می کند، یک TTL کوتاه می تواند بر عملکرد برنامه شما تأثیر بگذارد.
    • سهمیه و هزینه: TTLهای کوتاهتر و تأیید مجدد مکرر سهمیه شما را سریعتر از بین می برد و برای خدمات پولی، احتمالاً هزینه بیشتری دارد. به سهمیه ها و محدودیت ها مراجعه کنید.

    TTL پیش‌فرض ۱ ساعته برای اکثر برنامه‌ها معقول است. توجه داشته باشید که کتابخانه App Check توکن ها را تقریباً با نصف مدت زمان TTL تازه می کند.

2. کتابخانه App Check را به برنامه خود اضافه کنید

اگر قبلاً این کار را نکرده اید، Firebase را به برنامه وب خود اضافه کنید . حتماً کتابخانه App Check را وارد کنید.

3. App Check را اولیه کنید

قبل از دسترسی به خدمات Firebase، کد اولیه زیر را به برنامه خود اضافه کنید. برای activate() باید کلید سایت reCAPTCHA Enterprise خود را که در کنسول Cloud ایجاد کرده اید ارسال کنید.

Web version 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck, ReCaptchaEnterpriseProvider } = require("firebase/app-check");

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web version 8

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

هنگامی که کتابخانه App Check در برنامه شما نصب شد، آن را مستقر کنید.

برنامه کلاینت به‌روزرسانی‌شده، به همراه هر درخواستی که به Firebase می‌کند، نشانه‌های App Check را ارسال می‌کند، اما محصولات Firebase تا زمانی که اعمال را در بخش App Check کنسول Firebase فعال نکنید، نیازی به معتبر بودن توکن‌ها ندارند. برای جزئیات بیشتر به دو بخش بعدی مراجعه کنید.

4. معیارهای درخواست را رصد کنید

اکنون که برنامه به‌روزرسانی شده شما در دست کاربران است، می‌توانید اجرای App Check را برای محصولات Firebase که استفاده می‌کنید فعال کنید. با این حال، قبل از انجام این کار، باید مطمئن شوید که انجام این کار باعث اختلال در کاربران قانونی فعلی شما نمی شود.

پایگاه داده بیدرنگ، Cloud Firestore و Cloud Storage

ابزار مهمی که می‌توانید برای اتخاذ این تصمیم برای پایگاه داده بیدرنگ، Cloud Firestore و Cloud Storage استفاده کنید، صفحه معیارهای درخواست بررسی برنامه است.

برای مشاهده معیارهای درخواست بررسی برنامه برای یک محصول، بخش بررسی برنامه کنسول Firebase را باز کنید. مثلا:

نماگرفت صفحه معیارهای بررسی برنامه

معیارهای درخواست برای هر محصول به چهار دسته تقسیم می شوند:

  • درخواست‌های تایید شده آنهایی هستند که دارای نشانه معتبر App Check هستند. پس از فعال کردن اجرای بررسی برنامه، فقط درخواست‌های این دسته موفق خواهند شد.

  • درخواست‌های مشتری منسوخ شده آنهایی هستند که کد App Check را ندارند. این درخواست‌ها ممکن است از یک نسخه قدیمی‌تر Firebase SDK قبل از گنجاندن App Check در برنامه باشد.

  • درخواست‌های مبدأ ناشناخته آن‌هایی هستند که کد App Check را ندارند و به نظر نمی‌رسد از Firebase SDK آمده باشند. اینها ممکن است از درخواست‌هایی باشد که با کلیدهای API به سرقت رفته یا درخواست‌های جعلی که بدون Firebase SDK انجام شده‌اند.

  • درخواست‌های نامعتبر درخواست‌هایی هستند که دارای یک رمز برنامه بررسی نامعتبر هستند، که ممکن است از یک کلاینت غیر معتبر باشد که سعی در جعل هویت برنامه شما دارد، یا از محیط‌های شبیه‌سازی شده.

توزیع این دسته‌ها برای برنامه شما باید زمانی را که تصمیم به فعال کردن اعمال می‌کنید به شما اطلاع دهد. در اینجا چند دستورالعمل وجود دارد:

  • اگر تقریباً تمام درخواست‌های اخیر از مشتریان تأیید شده است، برای شروع محافظت از منابع باطن خود، اجرای را فعال کنید.

  • اگر بخش قابل‌توجهی از درخواست‌های اخیر از کلاینت‌هایی هستند که احتمالاً قدیمی هستند، برای جلوگیری از ایجاد مزاحمت در کاربران، قبل از فعال کردن اعمال، منتظر بمانید تا کاربران بیشتری برنامه شما را به‌روزرسانی کنند. اجرای بررسی برنامه در یک برنامه منتشر شده، نسخه های قبلی برنامه را که با SDK بررسی برنامه ادغام نشده اند، خراب می کند.

  • اگر برنامه شما هنوز راه اندازی نشده است، باید فوراً اجرای بررسی برنامه را فعال کنید، زیرا هیچ کلاینت قدیمی در حال استفاده نیست.

توابع ابری

برای توابع Cloud، می‌توانید با بررسی گزارش‌های عملکردهای خود، معیارهای App Check را دریافت کنید. هر فراخوانی یک تابع قابل فراخوانی یک ورودی گزارش ساختار یافته مانند مثال زیر منتشر می کند:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

می‌توانید این معیارها را در Google Cloud Console با ایجاد یک سنجه شمارنده مبتنی بر گزارش‌ها با فیلتر متریک زیر تجزیه و تحلیل کنید:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

با استفاده از فیلد jsonPayload.verifications.appCheck ، متریک را برچسب گذاری کنید.

5. اجرا را فعال کنید

برای فعال کردن اعمال، دستورالعمل‌های مربوط به هر محصول را در زیر دنبال کنید. هنگامی که اجرای یک محصول را فعال کنید، همه درخواست‌های تأیید نشده برای آن محصول رد می‌شوند.

پایگاه داده بیدرنگ، Cloud Firestore و Cloud Storage

برای فعال کردن اعمال برای پایگاه داده Realtime، Cloud Firestore (iOS و Android) و Cloud Storage:

  1. بخش App Check را در کنسول Firebase باز کنید.

  2. نمای معیارهای محصولی را که می‌خواهید اجرای آن را فعال کنید، گسترش دهید.

  3. روی Enforce کلیک کنید و انتخاب خود را تایید کنید.

توجه داشته باشید که تا 15 دقیقه پس از فعال کردن اجرای اعمال می‌تواند طول بکشد.

توابع ابری

به فعال کردن اجرای بررسی برنامه برای عملکردهای ابری مراجعه کنید.

توجه به هزینه

App Check یک ارزیابی از طرف شما ایجاد می‌کند تا هر بار که مرورگری که برنامه وب شما را اجرا می‌کند، کد App Check خود را تازه‌سازی می‌کند تا نشانه پاسخ کاربر را تأیید کند. هزینه پروژه شما برای هر ارزیابی ایجاد شده بالاتر از سهمیه بدون هزینه دریافت می شود. برای جزئیات بیشتر به قیمت گذاری سازمانی reCAPTCHA مراجعه کنید.

به‌طور پیش‌فرض، برنامه وب شما هر ۱ ساعت دو بار این نشانه را بازخوانی می‌کند. برای کنترل تعداد دفعات بازخوانی نشانه‌های App Check (و در نتیجه تعداد دفعات ایجاد ارزیابی‌های جدید)، TTL آنها را پیکربندی کنید .

مراحل بعدی

اگر بعد از اینکه برنامه خود را برای بررسی برنامه ثبت کردید، می خواهید برنامه خود را در محیطی اجرا کنید که App Check معمولاً آن را معتبر طبقه بندی نمی کند، مانند محلی در طول توسعه، یا از یک محیط یکپارچه سازی مداوم (CI)، می توانید ایجاد کنید. ساخت اشکال‌زدایی برنامه شما که از ارائه‌دهنده رفع اشکال App Check به جای ارائه‌دهنده گواهی واقعی استفاده می‌کند.

به استفاده از بررسی برنامه با ارائه دهنده اشکال زدایی در برنامه های وب مراجعه کنید.