Catch up on everthing we announced at this year's Firebase Summit. Learn more

بررسی برنامه با reCAPTCHA v3 را در برنامه های وب فعال کنید

این صفحه به شما نشان می‌دهد که چگونه با استفاده از ارائه‌دهنده داخلی reCAPTCHA v3، بررسی برنامه را در یک برنامه وب فعال کنید. وقتی برنامه بررسی را فعال می‌کنید، مطمئن می‌شوید که فقط برنامه شما می‌تواند به منابع Firebase پروژه شما دسترسی داشته باشد. مشاهده نمای کلی از این ویژگی.

reCAPTCHA v3 یک سرویس رایگان است. بررسی برنامه همچنین پشتیبانی از reCAPTCHA را شرکت ، یک سرویس پرداخت با سهمیه بندی رایگان. برای یادگیری تفاوت بین V3 reCAPTCHA و reCAPTCHA را شرکت، را ببینید مقایسه ویژگی .

توجه داشته باشید که reCAPTCHA v3 برای کاربران نامرئی است. ارائه‌دهنده reCAPTCHA v3 در هر زمانی از کاربران نمی‌خواهد چالشی را حل کنند. را ببینید مستندات V3 reCAPTCHA را .

اگر شما می خواهید به استفاده از چک نرم افزار با ارائه دهنده سفارشی خود را، و پیاده سازی یک نرم افزار سفارشی ارائه دهنده چک .

1. پروژه Firebase خود را راه اندازی کنید

  1. اضافه کردن فایربیس به پروژه جاوا اسکریپت خود را اگر شما قبلا انجام داده است تا.

  2. ثبت نام سایت خود را برای reCAPTCHA را V3 و reCAPTCHA را سایت V3 کلید خود را و کلید مخفی.

  3. ثبت نام برنامه های خود را به استفاده از چک نرم افزار با ارائه دهنده reCAPTCHA را در تنظیمات پروژه> برنامه را بررسی کنید بخش از کنسول فایربیس. شما نیاز به ارائه کلید های مخفی شما در مرحله قبل است.

    معمولاً باید همه برنامه‌های پروژه خود را ثبت کنید، زیرا پس از فعال کردن اجرای یک محصول Firebase، فقط برنامه‌های ثبت‌شده می‌توانند به منابع پشتیبان محصول دسترسی پیدا کنند.

  4. اختیاری: در تنظیمات ثبت نام برنامه، تنظیم سفارشی زمان به زندگی می کنند (TTL) برای ورود به نرم افزار نشانه شده توسط ارائه دهنده صادر شده است. می توانید TTL را روی هر مقداری بین 30 دقیقه تا 7 روز تنظیم کنید. هنگام تغییر این مقدار، به معاوضه های زیر توجه داشته باشید:

    • امنیت: TTL‌های کوتاه‌تر امنیت قوی‌تری را فراهم می‌کنند، زیرا پنجره‌ای را کاهش می‌دهد که در آن توکن لو رفته یا رهگیری شده توسط مهاجم مورد سوء استفاده قرار می‌گیرد.
    • عملکرد: TTLهای کوتاهتر به این معنی است که برنامه شما به دفعات بیشتری گواهی را انجام می دهد. از آنجایی که فرآیند تأیید برنامه هر بار که انجام می شود، تاخیر را به درخواست های شبکه اضافه می کند، یک TTL کوتاه می تواند بر عملکرد برنامه شما تأثیر بگذارد.
    • سهمیه و هزینه: TTLهای کوتاهتر و تأیید مجدد مکرر سهمیه شما را سریعتر از بین می برد و برای خدمات پولی، احتمالاً هزینه بیشتری دارد. مشاهده سهمیه و محدودیت .

    از این که ttl طور پیش فرض از 1 روز برای بیشتر برنامه است. توجه داشته باشید که کتابخانه App Check توکن ها را تقریباً در نیمی از مدت زمان TTL تازه می کند.

2. کتابخانه App Check را به برنامه خود اضافه کنید

اضافه کردن فایربیس به برنامه وب خود اگر شما در حال حاضر نیست. حتماً کتابخانه App Check را وارد کنید.

3. App Check را اولیه کنید

قبل از دسترسی به خدمات Firebase، کد اولیه زیر را به برنامه خود اضافه کنید. شما نیاز به تصویب کلیدی سایت reCAPTCHA را خود را، که شما در کنسول reCAPTCHA را ایجاد شده، برای activate() .

نسخه وب 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck, ReCaptchaV3Provider } = require("firebase/app-check");

const app = initializeApp({
  // Your firebase configuration object
});

// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true
});

نسخه وب 8

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
appCheck.activate(
  'abcdefghijklmnopqrstuvwxy-1234567890abcd',

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);

هنگامی که کتابخانه App Check در برنامه شما نصب شد، آن را مستقر کنید.

برنامه کلاینت به‌روزرسانی‌شده، به همراه هر درخواستی که به Firebase می‌کند، نشانه‌های App Check را ارسال می‌کند، اما محصولات Firebase تا زمانی که اعمال را در بخش App Check کنسول Firebase فعال نکنید، نیازی به معتبر بودن توکن‌ها ندارند. برای جزئیات بیشتر به دو بخش بعدی مراجعه کنید.

4. معیارهای درخواست را نظارت کنید

اکنون که برنامه به‌روزرسانی شده شما در دست کاربران است، می‌توانید اجرای App Check را برای محصولات Firebase که استفاده می‌کنید فعال کنید. با این حال، قبل از انجام این کار، باید مطمئن شوید که انجام این کار باعث اختلال در کاربران قانونی فعلی شما نمی شود.

پایگاه داده بیدرنگ، Cloud Firestore و Cloud Storage

ابزار مهمی که می‌توانید برای این تصمیم برای پایگاه داده بیدرنگ، Cloud Firestore و Cloud Storage استفاده کنید، صفحه معیارهای درخواست بررسی برنامه است.

برای مشاهده برنامه های درخواست بررسی معیارهای برای یک محصول، باز کردن تنظیمات پروژه> برنامه را بررسی کنید بخش از کنسول فایربیس. مثلا:

نماگرفت صفحه معیارهای بررسی برنامه

معیارهای درخواست برای هر محصول به چهار دسته تقسیم می شوند:

  • درخواست تایید شده کسانی که یک برنامه معتبر را بررسی کنید رمز هستند. پس از فعال کردن اجرای بررسی برنامه، فقط درخواست‌های این دسته موفق خواهند شد.

  • درخواست مشتری از رده خارج کسانی که در حال از دست رفته یک برنامه را بررسی کنید رمز هستند. این درخواست‌ها ممکن است از نسخه قدیمی‌تری از Firebase SDK قبل از گنجاندن App Check در برنامه باشد.

  • درخواست منشا ناشناخته آن است که گم شده یک برنامه چک رمز هستند، و به نظر نمی مانند آنها از فایربیس SDK آمده است. اینها ممکن است از درخواست‌هایی باشد که با کلیدهای API به سرقت رفته یا درخواست‌های جعلی که بدون Firebase SDK انجام شده‌اند.

  • درخواست نامعتبر کسانی که یک برنامه نامعتبر بررسی نشانه، که ممکن است از یک سرویس گیرنده نامعتبر تلاش برای جعل هویت برنامه خود را، و یا از محیط شبیه سازی می شود.

توزیع این دسته‌ها برای برنامه شما باید زمانی را که تصمیم به فعال کردن اعمال می‌کنید به شما اطلاع دهد. در اینجا چند دستورالعمل وجود دارد:

  • اگر تقریباً تمام درخواست‌های اخیر از مشتریان تأیید شده است، برای شروع محافظت از منابع باطن خود، اجرای را فعال کنید.

  • اگر بخش قابل‌توجهی از درخواست‌های اخیر از کلاینت‌هایی هستند که به احتمال زیاد قدیمی هستند، برای جلوگیری از ایجاد اختلال در کاربران، قبل از فعال کردن اعمال، منتظر بمانید تا کاربران بیشتری برنامه شما را به‌روزرسانی کنند. اجرای بررسی برنامه در یک برنامه منتشر شده، نسخه‌های قبلی برنامه را که با SDK بررسی برنامه ادغام نشده‌اند، خراب می‌کند.

  • اگر برنامه شما هنوز راه اندازی نشده است، باید فوراً اجرای بررسی برنامه را فعال کنید، زیرا هیچ کلاینت قدیمی در حال استفاده نیست.

توابع ابری

برای توابع Cloud، می‌توانید با بررسی گزارش‌های عملکردهایتان، معیارهای App Check را دریافت کنید. هر فراخوانی یک تابع قابل فراخوانی یک ورودی گزارش ساختار یافته مانند مثال زیر منتشر می کند:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

شما می توانید این معیارها در ابر کنسول گوگل توسط تجزیه و تحلیل ایجاد یک سیاهههای مربوط مبتنی بر ضد متریک با فیلتر متریک زیر است:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

برچسب متریک استفاده از قسمت jsonPayload.verifications.appCheck .

5. اجرا را فعال کنید

برای فعال کردن اعمال، دستورالعمل‌های مربوط به هر محصول را در زیر دنبال کنید. هنگامی که اجرای یک محصول را فعال کنید، همه درخواست‌های تأیید نشده برای آن محصول رد می‌شوند.

پایگاه داده بیدرنگ، Cloud Firestore و Cloud Storage

برای فعال کردن اعمال برای پایگاه داده Realtime، Cloud Firestore (iOS و Android) و Cloud Storage:

  1. را باز تنظیمات پروژه> برنامه را بررسی کنید بخش از کنسول فایربیس.

  2. نمای معیارهای محصولی را که می‌خواهید اجرای آن را فعال کنید، گسترش دهید.

  3. کلیک کنید اجرای و انتخاب خود را تایید کنید.

توجه داشته باشید که تا 10 دقیقه پس از فعال کردن اجرای اعمال می‌شود.

توابع ابری

مشاهده فعال کردن برنامه بررسی اجرای برای توابع ابر .

مراحل بعدی

اگر بعد از اینکه برنامه خود را برای بررسی برنامه ثبت کردید، می خواهید برنامه خود را در محیطی اجرا کنید که App Check معمولاً آن را معتبر طبقه بندی نمی کند، مانند محلی در طول توسعه، یا از یک محیط یکپارچه سازی مداوم (CI)، می توانید ایجاد کنید. ساخت اشکال‌زدایی برنامه شما که از ارائه‌دهنده رفع اشکال App Check به جای ارائه‌دهنده گواهی واقعی استفاده می‌کند.

مشاهده استفاده از نرم افزار چک با ارائه دهنده اشکال زدایی در برنامه های وب .