Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Bắt đầu sử dụng tính năng Kiểm tra ứng dụng bằng reCAPTCHA v3 trong ứng dụng web

Trang này hướng dẫn bạn cách bật tính năng App Check trong một ứng dụng web bằng cách sử dụng nhà cung cấp reCAPTCHA v3 tích hợp. Khi bật tính năng App Check, bạn sẽ giúp đảm bảo rằng chỉ ứng dụng của bạn mới có thể truy cập vào tài nguyên Firebase của dự án. Xem bài viết Tổng quan về tính năng này.

Xin lưu ý rằng người dùng không thấy reCAPTCHA v3. Nhà cung cấp reCAPTCHA v3 sẽ không yêu cầu người dùng giải thử thách vào bất kỳ lúc nào. Xem tài liệu về reCAPTCHA v3.

Nếu bạn muốn sử dụng App Check với nhà cung cấp tuỳ chỉnh của riêng mình, hãy xem bài viết Triển khai nhà cung cấp tuỳ chỉnh cho App Check.

1. Thiết lập dự án Firebase

Thêm Firebase vào dự án JavaScript nếu bạn chưa làm việc này.
Đăng ký trang web của bạn cho reCAPTCHA v3 và nhận khoá trang web reCAPTCHA v3 và khoá bí mật.
Trong bảng điều khiển Firebase, hãy chuyển đến phần Bảo mật > Kiểm tra ứng dụng.
Trong thẻ Ứng dụng, hãy đăng ký ứng dụng của bạn để sử dụng App Check với nhà cung cấp reCAPTCHA. Bạn cần cung cấp khoá bí mật mà bạn nhận được trong trang web reCAPTCHA.

Bạn thường cần đăng ký tất cả ứng dụng của dự án, vì sau khi bạn bật chế độ thực thi cho một sản phẩm Firebase, chỉ những ứng dụng đã đăng ký mới có thể truy cập vào tài nguyên phụ trợ của sản phẩm đó.
Không bắt buộc: Trong phần cài đặt đăng ký ứng dụng, hãy đặt thời gian tồn tại (TTL) tuỳ chỉnh cho mã thông báo do nhà cung cấp phát hành.App Check Bạn có thể đặt TTL thành bất kỳ giá trị nào trong khoảng từ 30 phút đến 7 ngày. Khi thay đổi giá trị này, hãy lưu ý những điểm sau:
- Bảo mật: TTL ngắn hơn giúp tăng cường bảo mật, vì TTL ngắn hơn sẽ giảm khoảng thời gian mà kẻ tấn công có thể lợi dụng mã thông báo bị rò rỉ hoặc bị chặn.
- Hiệu suất: TTL ngắn hơn nghĩa là ứng dụng của bạn sẽ thực hiện chứng thực thường xuyên hơn. Vì quy trình chứng thực ứng dụng sẽ thêm độ trễ vào các yêu cầu mạng mỗi khi quy trình này được thực hiện, nên TTL ngắn có thể ảnh hưởng đến hiệu suất của ứng dụng.
- Hạn mức và chi phí: TTL ngắn hơn và việc chứng thực lại thường xuyên sẽ làm cạn kiệt hạn mức của bạn nhanh hơn và đối với các dịch vụ trả phí, có thể tốn kém hơn. Xem bài viết Hạn mức và giới hạn.
TTL mặc định là 1 ngày , phù hợp với hầu hết các ứng dụng. Xin lưu ý rằng thư viện App Check sẽ làm mới mã thông báo sau khoảng một nửa thời lượng TTL.

Định cấu hình các chế độ cài đặt nâng cao (không bắt buộc)

Khi người dùng truy cập vào ứng dụng web của bạn, reCAPTCHA v3 sẽ đánh giá mức độ rủi ro mà lượt tương tác của người dùng gây ra và trả về điểm số trong khoảng từ 0,0 đến 1,0; 1,0 rất có thể là một hoạt động tương tác tốt, 0,0 rất có thể là một bot. App Check cho phép bạn định cấu hình ngưỡng rủi ro ứng dụng để có thể điều chỉnh mức độ chấp nhận rủi ro này.

Đối với hầu hết các trường hợp sử dụng, bạn nên sử dụng giá trị ngưỡng mặc định là 0,5. Nếu trường hợp sử dụng của bạn yêu cầu điều chỉnh, bạn có thể định cấu hình trong phần App Check của bảng điều khiển Firebase cho từng ứng dụng web.

Thông tin chi tiết

App Check sử dụng ngưỡng rủi ro ứng dụng mà bạn đã định cấu hình làm điểm số reCAPTCHA v3 tối thiểu cần thiết để lượt tương tác của người dùng được coi là hợp lệ. Tất cả điểm số reCAPTCHA v3 nhỏ hơn ngưỡng rủi ro ứng dụng mà bạn đã định cấu hình sẽ bị từ chối. Khi điều chỉnh ngưỡng rủi ro ứng dụng, hãy lưu ý những điều sau:

Để theo dõi tình trạng phân bổ điểm số reCAPTCHA v3 cho ứng dụng web của bạn, hãy truy cập Bảng điều khiển dành cho quản trị viên reCAPTCHA và chọn trang web tương ứng với ứng dụng web của bạn.
Nếu bạn có mức độ chấp nhận rủi ro ứng dụng thấp, hãy di chuyển thanh trượt sang trái để tăng ngưỡng rủi ro ứng dụng.
- Bạn không nên sử dụng giá trị 1.0, vì chế độ cài đặt này cũng có thể từ chối quyền truy cập đối với những người dùng hợp lệ không đáp ứng ngưỡng tin cậy cao này.
Cảnh báo: Trước khi tăng ngưỡng rủi ro ứng dụng, bạn nên cân nhắc việc tạm thời không thực thi biện pháp bảo vệ của tính năng Kiểm tra ứng dụng cho tất cả các dịch vụ hiện đang được thực thi để tránh làm gián đoạn hoạt động của người dùng hợp lệ. Bạn nên theo dõi các chỉ số yêu cầu Kiểm tra ứng dụng để xác minh rằng lưu lượng truy cập không bị gián đoạn trước khi tiếp tục thực thi.
Nếu bạn có mức độ chấp nhận rủi ro ứng dụng cao, hãy di chuyển thanh trượt sang phải để giảm ngưỡng rủi ro ứng dụng.
- Bạn không nên sử dụng giá trị 0.0, vì chế độ cài đặt này sẽ tắt tính năng bảo vệ khỏi hành vi lạm dụng.

Hãy tham khảo tài liệu về reCAPTCHA v3 để biết thêm thông tin chi tiết.

2. Thêm thư viện App Check vào ứng dụng của bạn

Thêm Firebase vào ứng dụng web nếu bạn chưa làm việc này. Hãy nhớ nhập thư viện App Check.

3. Khởi chạy App Check

Thêm mã khởi chạy sau vào ứng dụng của bạn trước khi bạn truy cập vào bất kỳ dịch vụ Firebase nào. Bạn cần truyền khoá trang web reCAPTCHA mà bạn đã tạo trong bảng điều khiển reCAPTCHA vào activate().

Web

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaV3Provider } from "firebase/app-check";

const app = initializeApp({
  // Your firebase configuration object
});

// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true
});appcheck_initialize.js

Web

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
appCheck.activate(
  'abcdefghijklmnopqrstuvwxy-1234567890abcd',

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);index.js

Các bước tiếp theo

Sau khi cài đặt thư viện App Check trong ứng dụng của bạn, hãy triển khai thư viện đó.

Ứng dụng khách đã cập nhật sẽ bắt đầu gửi App Check mã thông báo cùng với mọi yêu cầu mà ứng dụng đó gửi đến Firebase, nhưng các sản phẩm Firebase sẽ không yêu cầu mã thông báo phải hợp lệ cho đến khi bạn bật chế độ thực thi trong phần App Check của bảng điều khiển Firebase.

Theo dõi các chỉ số và bật chế độ thực thi

Tuy nhiên, trước khi bật chế độ thực thi, bạn nên đảm bảo rằng việc này sẽ không làm gián đoạn hoạt động của những người dùng hợp lệ hiện tại. Mặt khác, nếu thấy có hành vi sử dụng đáng ngờ đối với tài nguyên ứng dụng của bạn, thì bạn nên bật chế độ thực thi sớm hơn.

Để giúp đưa ra quyết định này, bạn có thể xem các chỉ số App Check cho các dịch vụ mà bạn sử dụng:

Theo dõi App Check chỉ số yêu cầu cho Firebase AI Logic, SQL Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity cho iOS, Maps JavaScript API và Places API (Mới).
Theo dõi các chỉ số yêu cầu App Check cho Cloud Functions.

Bật chế độ thực thi App Check

Khi bạn hiểu cách App Check sẽ ảnh hưởng đến người dùng và bạn đã sẵn sàng tiếp tục, bạn có thể bật chế độ thực thi App Check:

Bật chế độ thực thi App Check cho Firebase AI Logic, SQL Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity cho iOS, Maps JavaScript API và Places API (Mới).
Bật chế độ thực thi tính năng App Check cho Cloud Functions.

Sử dụng App Check trong môi trường gỡ lỗi

Nếu sau khi đăng ký ứng dụng cho App Check, bạn muốn chạy ứng dụng của mình trong một môi trường mà App Check thường không phân loại là hợp lệ, chẳng hạn như cục bộ trong quá trình phát triển hoặc từ môi trường tích hợp liên tục (CI), thì bạn có thể tạo bản dựng gỡ lỗi của ứng dụng sử dụng nhà cung cấp gỡ lỗi App Check thay vì nhà cung cấp chứng thực thực.

Xem bài viết Sử dụng App Check với nhà cung cấp gỡ lỗi trong ứng dụng web.