Catch up on everthing we announced at this year's Firebase Summit. Learn more

הפעל בדיקת אפליקציות באמצעות reCAPTCHA v3 באפליקציות אינטרנט

דף זה מראה לך כיצד להפעיל App Check באפליקציית אינטרנט, באמצעות ספק reCAPTCHA v3 המובנה. כאשר אתה מפעיל App Check, אתה עוזר להבטיח שרק האפליקציה שלך יכולה לגשת למשאבי Firebase של הפרויקט שלך. ראה סקירה כללית של תכונה זו.

reCAPTCHA v3 הוא שירות חינמי. בדיקת יישום תומך גם reCAPTCHA Enterprise , שירות בתשלום עם מכסה חופשית. כדי ללמוד על ההבדלים בין v3 reCAPTCHA ו reCAPTCHA Enterprise, לראות את ההשוואה בין תכונות .

שימו לב ש-reCAPTCHA v3 אינו נראה למשתמשים. ספק reCAPTCHA v3 לא ידרוש מהמשתמשים לפתור אתגר בכל עת. עיין בתיעוד v3 reCAPTCHA .

אם אתה רוצה להשתמש Check App עם ספק מותאם אישית משלך, לראות ליישם ספקית בדיקת יישום מותאמת אישית .

1. הגדר את פרויקט Firebase שלך

  1. להוסיף Firebase לפרויקט JavaScript שלך אם לא עשה זאת.

  2. לרשום את האתר שלך עבור v3 reCAPTCHA ולקבל מפתח האתר v3 reCAPTCHA שלך ואת המפתח הסודי.

  3. הירשם אפליקציות כך שישתמש בדיקת יישום עם ספק reCAPTCHA בתוך גדרות הפרויקט> בדיקת יישום קטע במסוף Firebase. אתה תצטרך לספק את המפתח הסודי שקיבלת בשלב הקודם.

    בדרך כלל עליך לרשום את כל האפליקציות של הפרויקט שלך, מכיוון שברגע שתפעיל אכיפה עבור מוצר Firebase, רק אפליקציות רשומות יוכלו לגשת למשאבי הקצה האחורי של המוצר.

  4. אופציונלי: הגדרות רישום האפליקציה, להגדיר מנהג time-to-Live (TTL) עבור בדיקת יישום אסימונים שפרסמה הספקית. אתה יכול להגדיר את ה-TTL לכל ערך בין 30 דקות ל-7 ימים. בעת שינוי ערך זה, שים לב להחלפות הבאות:

    • אבטחה: TTL קצרים יותר מספקים אבטחה חזקה יותר, מכיוון שהיא מצמצמת את החלון שבו אסימון שדלף או יורט יכול להיות מנוצל לרעה על ידי תוקף.
    • ביצועים: TTL קצר יותר אומר שהאפליקציה שלך תבצע אישור בתדירות גבוהה יותר. מכיוון שתהליך אישור האפליקציה מוסיף זמן אחזור לבקשות הרשת בכל פעם שהוא מבוצע, TTL קצר יכול להשפיע על ביצועי האפליקציה שלך.
    • מכסה ועלות: TTL קצרים יותר ואישור חוזר תכוף מוציאים את המכסה שלך מהר יותר, ועבור שירותים בתשלום, פוטנציאל לעלות יותר. ראה מכסות ומגבלות .

    ה- TTL ברירת המחדל של 1 יום הוא סביר ביותר האפליקציות. שים לב שספריית App Check מרעננת אסימונים בערך במחצית משך ה-TTL.

2. הוסף את ספריית App Check לאפליקציה שלך

להוסיף Firebase ביישום האינטרנט שלך אם לא עשית זאת עדיין. הקפד לייבא את ספריית App Check.

3. אתחול App Check

הוסף את קוד האתחול הבא לאפליקציה שלך, לפני שתיגש לשירותי Firebase כלשהם. אתה תצטרך לעבור מפתח האתר reCAPTCHA שלך, שבו הם נוצרו במסוף reCAPTCHA, כדי activate() .

גרסת אינטרנט 9

const { initializeApp } = require("firebase/app");
const { initializeAppCheck, ReCaptchaV3Provider } = require("firebase/app-check");

const app = initializeApp({
  // Your firebase configuration object
});

// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true
});

גרסת אינטרנט 8

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
appCheck.activate(
  'abcdefghijklmnopqrstuvwxy-1234567890abcd',

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);

לאחר שספריית App Check מותקנת באפליקציה שלך, פרוס אותה.

אפליקציית הלקוח המעודכנת תתחיל לשלוח אסימוני App Check יחד עם כל בקשה שהיא תגיש ל-Firebase, אך מוצרי Firebase לא ידרשו שהאסימונים יהיו תקפים עד שתפעיל אכיפה בקטע App Check של מסוף Firebase. עיין בשני הסעיפים הבאים לפרטים.

4. עקוב אחר מדדי בקשות

כעת, כשהאפליקציה המעודכנת שלך נמצאת בידי המשתמשים, תוכל להפעיל את האכיפה של App Check עבור מוצרי Firebase שבהם אתה משתמש. עם זאת, לפני שתעשה זאת, עליך לוודא כי פעולה זו לא תפריע למשתמשים החוקיים הקיימים שלך.

מסד נתונים בזמן אמת, Cloud Firestore ואחסון בענן

כלי חשוב שאתה יכול להשתמש בו כדי לקבל החלטה זו עבור מסד נתונים בזמן אמת, Cloud Firestore ו-Cloud Storage הוא מסך מדדי הבקשה של App Check.

להצגת מדדי בקשת בדיקת היישום עבור מוצר, לפתוח את גדרות פרויקט> בדיקת יישום קטע במסוף Firebase. לדוגמה:

צילום מסך של דף מדדי בדיקת האפליקציה

מדדי הבקשות עבור כל מוצר מחולקים לארבע קטגוריות:

  • בקשות מאומתות הם אלה שיש להם אפליקציות חוקיות בדוק האסימון. לאחר שתפעיל את אכיפת בדיקת האפליקציה, רק בקשות בקטגוריה זו יצליחו.

  • בקשות לקוח מיושנות הן אלה חסרים אסימון בדיקת יישום. בקשות אלה עשויות להיות מגרסה ישנה יותר של Firebase SDK לפני בדיקת האפליקציה נכללה באפליקציה.

  • בקשות ממוצא לא ידוע הן אלה חסרי אפליקציה בדוק אסימון, ואינן נראות כאילו הם באים Firebase SDK. אלה עשויים להיות מבקשות שנעשו עם מפתחות API גנובים או בקשות מזויפות שנעשו ללא Firebase SDK.

  • בקשות לא חוקיות הן כי יש אפליקציה חוקית בדוק אסימון, שעשוי להיות מלקוח inauthentic ניסיון להתחזות האפליקציה שלך, או מסביבות לחיקוי.

ההפצה של קטגוריות אלה עבור האפליקציה שלך אמורה להודיע ​​​​כאשר תחליט לאפשר אכיפה. הנה כמה קווים מנחים:

  • אם כמעט כל הבקשות האחרונות הן מלקוחות מאומתים, שקול לאפשר אכיפה כדי להתחיל להגן על משאבי הקצה האחורי שלך.

  • אם חלק ניכר מהבקשות האחרונות מגיעות מלקוחות שסביר להניח שלא מעודכנים, כדי למנוע הפרעה למשתמשים, שקול לחכות שמשתמשים נוספים יעדכנו את האפליקציה שלך לפני שתפעיל אכיפה. אכיפת בדיקת אפליקציות על אפליקציה שפורסמה תשבור גרסאות קודמות של אפליקציה שאינן משולבות ב-App Check SDK.

  • אם האפליקציה שלך עדיין לא הושקה, עליך להפעיל מיד את אכיפת בדיקת האפליקציה, מכיוון שאין לקוחות מיושנים בשימוש.

פונקציות ענן

עבור פונקציות ענן, אתה יכול לקבל מדדי בדיקת אפליקציות על ידי בחינת יומני הפונקציות שלך. כל הפעלת פונקציה הניתנת להתקשרות פולטת ערך יומן מובנה כמו הדוגמה הבאה:

{
  "severity": "INFO",    // INFO, WARNING, or ERROR
  "logging.googleapis.com/labels": {"firebase-log-type": "callable-request-verification"},
  "jsonPayload": {
    "message": "Callable header verifications passed.",
    "verifications": {
      // ...
      "app": "MISSING",  // VALID, INVALID, or MISSING
    }
  }
}

אתה יכול לנתח את הערכים האלה במסוף Google Cloud ידי יצירת יומנים מבוסס מונה מטרי עם מסנן הערכים הבא:

resource.type="cloud_function"
resource.labels.function_name="YOUR_CLOUD_FUNCTION"
resource.labels.region="us-central1"
labels.firebase-log-type="callable-request-verification"

תווית מטרי באמצעות שדה jsonPayload.verifications.appCheck .

5. אפשר אכיפה

כדי לאפשר אכיפה, עקוב אחר ההוראות עבור כל מוצר, להלן. לאחר שתפעיל אכיפה עבור מוצר, כל הבקשות הלא מאומתות למוצר זה יידחו.

מסד נתונים בזמן אמת, Cloud Firestore ואחסון בענן

כדי לאפשר אכיפה עבור מסד נתונים בזמן אמת, Cloud Firestore (iOS ו-Android) ואחסון בענן:

  1. פתח את גדרות פרויקט> בדיקת יישום קטע במסוף Firebase.

  2. הרחב את תצוגת המדדים של המוצר שעבורו ברצונך להפעיל אכיפה.

  3. לחץ לאכוף לאשר את בחירתך.

שים לב שיחלפו עד 10 דקות לאחר הפעלת האכיפה עד שהוא ייכנס לתוקף.

פונקציות ענן

ראה להפעיל את האפליקציה בדוק אכיפה עבור פונקציות ענן .

הצעדים הבאים

אם, לאחר שרשמתם את האפליקציה שלכם ל-App Check, ברצונכם להפעיל את האפליקציה שלכם בסביבה שבדרך כלל לא תסווג אותה כתקינה, כגון מקומית במהלך הפיתוח, או מסביבת אינטגרציה מתמשכת (CI), תוכלו ליצור בניית באגים של האפליקציה שלך שמשתמשת בספק ניפוי באגים של App Check במקום בספק אישור אמיתי.

ראה השתמש App בדוק עם ספק באגים באפליקציות אינטרנט .