Check out what’s new from Firebase at Google I/O 2022. Learn more

Abilita App Check con reCAPTCHA Enterprise nelle app Web

Questa pagina mostra come abilitare App Check in un'app Web, utilizzando il provider reCAPTCHA Enterprise. Quando abiliti App Check, contribuisci a garantire che solo la tua app possa accedere alle risorse Firebase del tuo progetto. Vedi una panoramica di questa funzione.

reCAPTCHA Enterprise è un servizio a pagamento con quota gratuita. App Check supporta anche reCAPTCHA v3 , un servizio gratuito. Per conoscere le differenze tra reCAPTCHA v3 e reCAPTCHA Enterprise, consulta il confronto delle funzionalità .

Tieni presente che App Check utilizza chiavi del sito basate sul punteggio di reCAPTCHA Enterprise, che lo rendono invisibile agli utenti. Il provider reCAPTCHA Enterprise non richiederà agli utenti di risolvere una sfida in qualsiasi momento.

Se desideri utilizzare App Check con il tuo provider personalizzato, consulta Implementare un provider di App Check personalizzato .

1. Configura il tuo progetto Firebase

  1. Aggiungi Firebase al tuo progetto JavaScript se non l'hai già fatto.

  2. Apri la sezione reCAPTCHA Enterprise della console Cloud e procedi come segue:

    1. Se ti viene richiesto di abilitare l'API reCAPTCHA Enterprise, fallo.
    2. Crea una chiave di tipo sito web . Dovrai specificare i domini su cui ospiti la tua app web. Lascia deselezionata l'opzione "Usa verifica casella di controllo" .
  3. Registra le tue app per utilizzare App Check con il provider reCAPTCHA Enterprise nella sezione App Check della console Firebase. Dovrai fornire la chiave del sito che hai ottenuto nel passaggio precedente.

    Di solito devi registrare tutte le app del tuo progetto, perché una volta abilitata l'applicazione per un prodotto Firebase, solo le app registrate potranno accedere alle risorse di back-end del prodotto.

  4. Facoltativo : nelle impostazioni di registrazione dell'app, imposta un TTL (Time-to-Live) personalizzato per i token App Check emessi dal provider. È possibile impostare il TTL su qualsiasi valore compreso tra 30 minuti e 7 giorni. Quando si modifica questo valore, prestare attenzione ai seguenti compromessi:

    • Sicurezza: TTL più brevi forniscono una maggiore sicurezza, perché riduce la finestra in cui un token trapelato o intercettato può essere abusato da un utente malintenzionato.
    • Prestazioni: TTL più brevi significano che la tua app eseguirà l'attestazione più frequentemente. Poiché il processo di attestazione dell'app aggiunge latenza alle richieste di rete ogni volta che viene eseguita, un TTL breve può influire sulle prestazioni dell'app.
    • Quota e costi: TTL più brevi e frequenti riattestazioni esauriscono la tua quota più velocemente e, per i servizi a pagamento, potenzialmente costano di più. Vedere Quote e limiti .

    Il TTL predefinito di 1 ora è ragionevole per la maggior parte delle app. Tieni presente che la libreria App Check aggiorna i token a circa la metà della durata del TTL.

2. Aggiungi la libreria App Check alla tua app

Aggiungi Firebase alla tua app web se non l'hai già fatto. Assicurati di importare la libreria App Check.

3. Inizializza il controllo dell'app

Aggiungi il seguente codice di inizializzazione alla tua applicazione, prima di accedere a qualsiasi servizio Firebase. Dovrai passare la tua chiave del sito reCAPTCHA Enterprise, che hai creato nella console Cloud, per activate() .

Web version 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck, ReCaptchaEnterpriseProvider } = require("firebase/app-check");

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web version 8

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

Una volta installata la libreria App Check nell'app, distribuiscila.

L'app client aggiornata inizierà a inviare token App Check insieme a ogni richiesta effettuata a Firebase, ma i prodotti Firebase non richiederanno che i token siano validi finché non abiliti l'applicazione nella sezione App Check della console Firebase. Per i dettagli, vedere le due sezioni successive.

4. Monitorare le metriche delle richieste

Ora che la tua app aggiornata è nelle mani degli utenti, puoi abilitare l'applicazione di App Check per i prodotti Firebase che utilizzi. Prima di farlo, tuttavia, dovresti assicurarti che ciò non interrompa i tuoi utenti legittimi esistenti.

Database in tempo reale, Cloud Firestore e Cloud Storage

Uno strumento importante che puoi utilizzare per prendere questa decisione per Realtime Database, Cloud Firestore e Cloud Storage è la schermata delle metriche di richiesta di App Check.

Per visualizzare le metriche di richiesta di App Check per un prodotto, apri la sezione App Check della console Firebase. Per esempio:

Screenshot della pagina delle metriche di App Check

Le metriche di richiesta per ciascun prodotto sono suddivise in quattro categorie:

  • Le richieste verificate sono quelle che hanno un token App Check valido. Dopo aver abilitato l'applicazione di App Check, solo le richieste in questa categoria avranno esito positivo.

  • Le richieste client obsolete sono quelle a cui manca un token App Check. Queste richieste potrebbero provenire da una versione precedente dell'SDK Firebase prima che App Check fosse incluso nell'app.

  • Le richieste di origine sconosciuta sono quelle a cui manca un token App Check e non sembrano provenire da Firebase SDK. Potrebbero provenire da richieste effettuate con chiavi API rubate o richieste contraffatte effettuate senza Firebase SDK.

  • Le richieste non valide sono quelle che hanno un token App Check non valido, che potrebbe provenire da un client non autentico che tenta di impersonare la tua app o da ambienti emulati.

La distribuzione di queste categorie per la tua app dovrebbe informare quando decidi di abilitare l'applicazione. Ecco alcune linee guida:

  • Se quasi tutte le richieste recenti provengono da client verificati, valuta la possibilità di abilitare l'applicazione per iniziare a proteggere le tue risorse di back-end.

  • Se una parte significativa delle richieste recenti proviene da client probabilmente obsoleti, per evitare di interrompere gli utenti, valutare la possibilità di attendere che più utenti aggiornino l'app prima di abilitare l'applicazione. L'applicazione di App Check su un'app rilasciata interromperà le versioni precedenti dell'app che non sono integrate con App Check SDK.

  • Se la tua app non è stata ancora avviata, dovresti abilitare immediatamente l'applicazione di App Check, poiché non sono in uso client obsoleti.

Funzioni cloud

Per le funzioni cloud, puoi ottenere le metriche di App Check esaminando i registri delle tue funzioni. Ogni chiamata di una funzione richiamabile emette una voce di registro strutturata come nell'esempio seguente:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

Puoi analizzare queste metriche in Google Cloud Console creando una metrica contatore basata su log con il seguente filtro di metrica:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

Etichetta la metrica utilizzando il campo jsonPayload.verifications.appCheck .

5. Abilita l'applicazione

Per abilitare l'applicazione, segui le istruzioni per ciascun prodotto di seguito. Dopo aver abilitato l'applicazione per un prodotto, tutte le richieste non verificate a quel prodotto verranno rifiutate.

Database in tempo reale, Cloud Firestore e Cloud Storage

Per abilitare l'applicazione per Realtime Database, Cloud Firestore (iOS e Android) e Cloud Storage:

  1. Apri la sezione App Check della console Firebase.

  2. Espandi la visualizzazione delle metriche del prodotto per il quale desideri abilitare l'applicazione.

  3. Fare clic su Applica e confermare la scelta.

Tieni presente che possono essere necessari fino a 15 minuti dopo l'attivazione dell'applicazione affinché diventi effettiva.

Funzioni cloud

Vedere Abilitazione dell'applicazione di App Check per le funzioni cloud .

Nota sul costo

App Check crea una valutazione per tuo conto per convalidare il token di risposta dell'utente ogni volta che un browser che esegue la tua app Web aggiorna il proprio token App Check. Il tuo progetto verrà addebitato per ogni valutazione creata al di sopra della quota gratuita. Vedi i prezzi di reCAPTCHA Enterprise per i dettagli.

Per impostazione predefinita, la tua app web aggiornerà questo token due volte ogni 1 ora . Per controllare la frequenza con cui la tua app aggiorna i token di App Check (e quindi la frequenza con cui vengono create nuove valutazioni), configura il loro TTL .

Prossimi passi

Se, dopo aver registrato la tua app per App Check, desideri eseguire la tua app in un ambiente che App Check normalmente non classificherebbe come valido, ad esempio in locale durante lo sviluppo o da un ambiente di integrazione continua (CI), puoi creare una build di debug della tua app che usa il provider di debug di App Check invece di un vero provider di attestazione.

Vedere Utilizzare App Check con il provider di debug nelle app Web .