Premiers pas avec App Check avec reCAPTCHA v3 dans les applications Web
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page vous explique comment activer App Check dans une application Web à l'aide du fournisseur reCAPTCHA v3 intégré. Lorsque vous activez App Check, vous vous assurez que seule votre application peut accéder aux ressources Firebase de votre projet. Consultez la présentation de cette fonctionnalité.
Notez que reCAPTCHA v3 est invisible pour les utilisateurs. Le fournisseur reCAPTCHA v3 ne demandera jamais aux utilisateurs de résoudre un défi. Consultez la documentation reCAPTCHA v3.
Enregistrez vos applications pour utiliser App Check avec le fournisseur reCAPTCHA dans la section App Check de la console Firebase. Vous devrez fournir la clé secrète que vous avez obtenue à l'étape précédente.
Vous devez généralement enregistrer toutes les applications de votre projet, car une fois que vous avez activé l'application des règles pour un produit Firebase, seules les applications enregistrées pourront accéder aux ressources de backend du produit.
Facultatif : Dans les paramètres d'enregistrement de l'application, définissez une valeur TTL (Time-To-Live) personnalisée pour les jetons App Check émis par le fournisseur. Vous pouvez définir le TTL sur n'importe quelle valeur comprise entre 30 minutes et 7 jours. Lorsque vous modifiez cette valeur, tenez compte des compromis suivants :
Sécurité : des valeurs TTL plus courtes offrent une sécurité renforcée, car elles réduisent la période pendant laquelle un jeton divulgué ou intercepté peut être utilisé à des fins malveillantes par un pirate informatique.
Performances : des valeurs TTL plus courtes signifient que votre application effectuera l'attestation plus fréquemment. Étant donné que le processus d'attestation d'application ajoute de la latence aux requêtes réseau chaque fois qu'il est effectué, un TTL court peut avoir un impact sur les performances de votre application.
Quota et coût : des TTL plus courts et une re-certification fréquente épuisent votre quota plus rapidement et peuvent entraîner des coûts plus élevés pour les services payants.
Consultez la page Quotas et limites.
La valeur TTL par défaut de 1 jour est raisonnable pour la plupart des applications. Notez que la bibliothèque App Check actualise les jetons à environ la moitié de la durée de vie (TTL).
2. Ajouter la bibliothèque App Check à votre application
Ajoutez le code d'initialisation suivant à votre application, avant d'accéder à un service Firebase. Vous devrez transmettre votre clé de site reCAPTCHA, que vous avez créée dans la console reCAPTCHA, à activate().
Web
import{initializeApp}from"firebase/app";import{initializeAppCheck,ReCaptchaV3Provider}from"firebase/app-check";constapp=initializeApp({// Your firebase configuration object});// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this// key is the counterpart to the secret key you set in the Firebase console.constappCheck=initializeAppCheck(app,{provider:newReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),// Optional argument. If true, the SDK automatically refreshes App Check// tokens as needed.isTokenAutoRefreshEnabled:true});
firebase.initializeApp({// Your firebase configuration object});constappCheck=firebase.appCheck();// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this// key is the counterpart to the secret key you set in the Firebase console.appCheck.activate('abcdefghijklmnopqrstuvwxy-1234567890abcd',// Optional argument. If true, the SDK automatically refreshes App Check// tokens as needed.true);
Une fois la bibliothèque App Check installée dans votre application, déployez-la.
L'application cliente mise à jour commencera à envoyer des jetons App Check avec chaque requête qu'elle envoie à Firebase, mais les produits Firebase n'exigeront pas que les jetons soient valides tant que vous n'aurez pas activé l'application dans la section App Check de la console Firebase.
Surveiller les métriques et activer l'application
Toutefois, avant d'activer l'application, vous devez vous assurer que cela ne perturbera pas vos utilisateurs légitimes existants. En revanche, si vous constatez une utilisation suspecte des ressources de votre application, vous pouvez activer l'application plus tôt.
Pour vous aider à prendre cette décision, vous pouvez examiner les métriques App Check pour les services que vous utilisez :
Surveillez les métriques des requêtes App Check pour Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity pour iOS, l'API Maps JavaScript et l'API Places (nouveau).
Une fois que vous avez compris l'impact de App Check sur vos utilisateurs et que vous êtes prêt à continuer, vous pouvez activer l'application de App Check :
Activez l'application de App Check pour Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity pour iOS, l'API Maps JavaScript et l'API Places (nouveau).
Utiliser App Check dans les environnements de débogage
Si, après avoir enregistré votre application pour App Check, vous souhaitez l'exécuter dans un environnement que App Check ne classerait normalement pas comme valide (par exemple, localement pendant le développement ou à partir d'un environnement d'intégration continue (CI)), vous pouvez créer une version de débogage de votre application qui utilise le fournisseur de débogage App Check au lieu d'un véritable fournisseur d'attestation.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/30 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Il n'y a pas l'information dont j'ai besoin","missingTheInformationINeed","thumb-down"],["Trop compliqué/Trop d'étapes","tooComplicatedTooManySteps","thumb-down"],["Obsolète","outOfDate","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Mauvais exemple/Erreur de code","samplesCodeIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/08/30 (UTC)."],[],[],null,["This page shows you how to enable App Check in a web app, using the built-in\nreCAPTCHA v3 provider. When you enable App Check, you help ensure that only\nyour app can access your project's Firebase resources. See an\n[Overview](/docs/app-check) of this feature.\n\n\u003cbr /\u003e\n\n| App Check also supports [reCAPTCHA Enterprise](/docs/app-check/web/recaptcha-enterprise-provider), which has more security features and fraud signals than reCAPTCHA v3. reCAPTCHA Enterprise gives you up to 10,000 assessments per month at no cost.\n|\n| \u003cbr /\u003e\n|\n| **You should use reCAPTCHA Enterprise for new integrations, and we strongly\n| recommend that developers of apps using reCAPTCHA v3 upgrade when possible.**\n|\n| To learn the differences between reCAPTCHA v3 and reCAPTCHA Enterprise, see the\n| [comparison of features](https://cloud.google.com/recaptcha-enterprise/docs/compare-versions).\n\n\u003cbr /\u003e\n\nNote that reCAPTCHA v3 is invisible to users. The reCAPTCHA v3 provider will not\nrequire users to solve a challenge at any time. See the\n[reCAPTCHA v3 documentation](https://developers.google.com/recaptcha/docs/v3).\n\nIf you want to use App Check with your own custom provider, see\n[Implement a custom App Check provider](/docs/app-check/web/custom-provider).\n\n1. Set up your Firebase project\n\n1. [Add Firebase to your JavaScript project](/docs/web/setup) if you haven't\n already done so.\n\n2. [Register your site for reCAPTCHA v3](https://www.google.com/recaptcha/admin/create) and get\n your reCAPTCHA v3 site key and secret key.\n\n3. Register your apps to use App Check with the reCAPTCHA provider in the\n [**App Check**](//console.firebase.google.com/project/_/appcheck) section of the\n Firebase console. You will need to provide the *secret key* you got in\n the previous step.\n\n You usually need to register all of your project's apps, because once you\n enable enforcement for a Firebase product, only registered apps will be able\n to access the product's backend resources.\n4. \u003cbr /\u003e\n\n \u003cbr /\u003e\n\n **Optional** : In the app registration settings, set a custom time-to-live\n (TTL) for App Check tokens issued by the provider. You can set the TTL\n to any value between 30 minutes and 7 days. When changing this value, be\n aware of the following tradeoffs:\n - Security: Shorter TTLs provide stronger security, because it reduces the window in which a leaked or intercepted token can be abused by an attacker.\n - Performance: Shorter TTLs mean your app will perform attestation more frequently. Because the app attestation process adds latency to network requests every time it's performed, a short TTL can impact the performance of your app.\n - Quota and cost: Shorter TTLs and frequent re-attestation deplete your quota faster, and for paid services, potentially cost more. See [Quotas \\& limits](/docs/app-check#quotas_limits).\n\n The default TTL of\n **1 day**\n is reasonable for most apps. Note that the App Check library refreshes\n tokens at approximately half the TTL duration.\n\n \u003cbr /\u003e\n\n \u003cbr /\u003e\n\n2. Add the App Check library to your app\n\n[Add Firebase to your web app](/docs/web/setup) if you haven't already. Be sure\nto import the App Check library.\n\n3. Initialize App Check\n\nAdd the following initialization code to your application, before you access any\nFirebase services. You will need to pass your reCAPTCHA *site key* , which you\ncreated in the reCAPTCHA console, to `activate()`. \n\nWeb \n\n```javascript\nimport { initializeApp } from \"firebase/app\";\nimport { initializeAppCheck, ReCaptchaV3Provider } from \"firebase/app-check\";\n\nconst app = initializeApp({\n // Your firebase configuration object\n});\n\n// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this\n// key is the counterpart to the secret key you set in the Firebase console.\nconst appCheck = initializeAppCheck(app, {\n provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),\n\n // Optional argument. If true, the SDK automatically refreshes App Check\n // tokens as needed.\n isTokenAutoRefreshEnabled: true\n});https://github.com/firebase/snippets-web/blob/467eaa165dcbd9b3ab15711e76fa52237ba37f8b/snippets/appcheck-next/index/appcheck_initialize.js#L8-L23\n```\n\nWeb \n\n```javascript\nfirebase.initializeApp({\n // Your firebase configuration object\n});\n\nconst appCheck = firebase.appCheck();\n// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this\n// key is the counterpart to the secret key you set in the Firebase console.\nappCheck.activate(\n 'abcdefghijklmnopqrstuvwxy-1234567890abcd',\n\n // Optional argument. If true, the SDK automatically refreshes App Check\n // tokens as needed.\n true);https://github.com/firebase/snippets-web/blob/467eaa165dcbd9b3ab15711e76fa52237ba37f8b/appcheck/index.js#L6-L18\n```\n| **Note:** The SDK will not automatically refresh App Check tokens by default. That functionality must be explicitly enabled by providing `true` as a second argument to `activate()` or by calling `firebase.appCheck().setTokenAutoRefreshEnabled(true)`. For more, see [the App Check reference docs](/docs/reference/js/firebase.appcheck.AppCheck).\n\nNext steps\n\nOnce the App Check library is installed in your app, deploy it.\n\nThe updated client app will begin sending App Check tokens along with every\nrequest it makes to Firebase, but Firebase products will not require the tokens\nto be valid until you enable enforcement in the App Check section of the\nFirebase console.\n\nMonitor metrics and enable enforcement\n\nBefore you enable enforcement, however, you should make sure that doing so won't\ndisrupt your existing legitimate users. On the other hand, if you're seeing\nsuspicious use of your app resources, you might want to enable enforcement\nsooner.\n\nTo help make this decision, you can look at App Check metrics for the\nservices you use:\n\n- [Monitor App Check request metrics](/docs/app-check/monitor-metrics) for Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity for iOS, Maps JavaScript API, and Places API (New).\n- [Monitor App Check request metrics for Cloud Functions](/docs/app-check/monitor-functions-metrics).\n\nEnable App Check enforcement\n\nWhen you understand how App Check will affect your users and you're ready to\nproceed, you can enable App Check enforcement:\n\n- [Enable App Check enforcement](/docs/app-check/enable-enforcement) for Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, Google Identity for iOS, Maps JavaScript API, and Places API (New).\n- [Enable App Check enforcement for Cloud Functions](/docs/app-check/cloud-functions).\n\nUse App Check in debug environments\n\nIf, after you have registered your app for App Check, you want to run your\napp in an environment that App Check would normally not classify as valid,\nsuch as locally during development, or from a continuous integration (CI)\nenvironment, you can create a debug build of your app that uses the\nApp Check debug provider instead of a real attestation provider.\n\nSee [Use App Check with the debug provider in web apps](/docs/app-check/web/debug-provider)."]]
