תחילת השימוש ב-App Check עם reCAPTCHA גרסה 3 באפליקציות אינטרנט

בדף הזה מוסבר איך להפעיל את App Check באפליקציית אינטרנט באמצעות ספק reCAPTCHA v3 המובנה. כשמפעילים את App Check, מוודאים שרק האפליקציה שלכם יכולה לגשת למשאבים של הפרויקט ב-Firebase. סקירה כללית של התכונה

שימו לב: reCAPTCHA v3 לא גלוי למשתמשים. ספק reCAPTCHA v3 לא יבקש מהמשתמשים לפתור אתגר בשום שלב. אפשר לעיין במסמכי reCAPTCHA v3.

אם אתם רוצים להשתמש ב-App Check עם ספק מותאם אישית משלכם, כדאי לעיין במאמר בנושא הטמעה של ספק App Check בהתאמה אישית.

1. הגדרת פרויקט Firebase

  1. אם עדיין לא עשיתם זאת, מוסיפים את Firebase לפרויקט ב-JavaScript.

  2. רושמים את האתר ל-reCAPTCHA בגרסה 3 ומקבלים את מפתח האתר ואת המפתח הסודי של reCAPTCHA בגרסה 3.

  3. במסוף Firebase, עוברים אל Security (אבטחה) > App Check (בדיקת אפליקציות).

  4. בכרטיסייה Apps (אפליקציות), רושמים את האפליקציות לשימוש ב-App Check עם ספק reCAPTCHA. תצטרכו לספק את המפתח הסודי שקיבלתם באתר reCAPTCHA.

    בדרך כלל צריך לרשום את כל האפליקציות בפרויקט, כי אחרי שמפעילים אכיפה של מוצר Firebase, רק אפליקציות רשומות יכולות לגשת למשאבי ה-Backend של המוצר.

  5. אופציונלי: בהגדרות של רישום האפליקציה, מגדירים ערך מותאם אישית של זמן החיים (TTL) של טוקנים מסוג App Check שהונפקו על ידי הספק. אפשר להגדיר את ה-TTL לכל ערך בין 30 דקות ל-7 ימים. כשמשנים את הערך הזה, חשוב להיות מודעים לשיקולים הבאים:

    • אבטחה: ערכי TTL קצרים יותר מספקים אבטחה חזקה יותר, כי הם מצמצמים את חלון הזמן שבו תוקף יכול לנצל לרעה אסימון שדלף או נחטף.
    • ביצועים: ערכי TTL קצרים יותר אומרים שהאפליקציה תבצע אימות בתדירות גבוהה יותר. תהליך אימות האפליקציה מוסיף זמן אחזור לבקשות רשת בכל פעם שהוא מתבצע, ולכן ערך TTL קצר יכול להשפיע על ביצועי האפליקציה.
    • מכסת השימוש והעלות: ערכי TTL קצרים יותר ואימותים חוזרים בתדירות גבוהה יותר מרוקנים את מכסת השימוש מהר יותר, ובשירותים בתשלום, עלולים להוביל לעלויות גבוהות יותר. מידע נוסף זמין במאמר בנושא מכסות וגבולות.

    ערך ברירת המחדל של TTL הוא יום אחד, וזה ערך סביר לרוב האפליקציות. חשוב לדעת שהספרייה App Check מרעננת את האסימונים בערך במחצית משך ה-TTL.

הגדרת הגדרות מתקדמות (אופציונלי)

כשמשתמש מבקר באפליקציית האינטרנט שלכם, reCAPTCHA גרסה 3 מעריך את רמת הסיכון של אינטראקציית המשתמש ומחזיר ציון בין 0.0 ל-1.0. ציון של 1.0 מציין סבירות גבוהה מאוד לאינטראקציה תקינה, וציון של 0.0 מציין סבירות גבוהה מאוד לבוט. App Check מאפשרת לכם להגדיר סף סיכון לאפליקציה כדי שתוכלו להתאים את רמת הסיכון שאתם מוכנים לקבל.

ברוב תרחישי השימוש, מומלץ להשתמש בערך הסף שמוגדר כברירת מחדל, 0.5. אם תרחיש השימוש שלכם מחייב שינוי, אפשר להגדיר אותו בקטע App Check במסוף Firebase לכל אחת מאפליקציות האינטרנט שלכם.

פרטים

App Check משתמשת בסף הסיכון שהגדרתם לאפליקציה כציון המינימלי של reCAPTCHA v3 שנדרש כדי שאינטראקציה של משתמש תיחשב לגיטימית. כל הציונים של reCAPTCHA v3 שקטנים מהסף שהגדרתם לאפליקציה יידחו. כשמשנים את סף הסיכון של האפליקציה, חשוב לשים לב לנקודות הבאות:

  • כדי לעקוב אחרי התפלגות הניקוד של reCAPTCHA בגרסה 3 באפליקציית האינטרנט, צריך להיכנס למסוף Admin של reCAPTCHA ולבחור את האתר שמתאים לאפליקציית האינטרנט.

  • אם אתם מוכנים לקבל סיכון נמוך באפליקציות, מזיזים את פס ההזזה שמאלה כדי להגדיל את סף הסיכון של האפליקציה.

    • לא מומלץ להגדיר ערך של 1.0, כי ההגדרה הזו עלולה גם למנוע גישה ממשתמשים לגיטימיים שלא עומדים בסף הגבוה הזה של רמת מהימנות.

  • אם אתם מוכנים לקבל סיכון גבוה באפליקציות, מזיזים את הסליידר שמאלה כדי להקטין את סף הסיכון של האפליקציות.

    • לא מומלץ להשתמש בערך 0.0, כי ההגדרה הזו משביתה את ההגנה מפני ניצול לרעה.

פרטים נוספים מופיעים במאמרי העזרה בנושא reCAPTCHA בגרסה 3.

2. להוסיף את ספריית App Check לאפליקציה

אם עדיין לא עשיתם זאת, מוסיפים את Firebase לאפליקציית האינטרנט. חשוב לייבא את הספרייה App Check.

3. אתחול App Check

מוסיפים את קוד האתחול הבא לאפליקציה, לפני שניגשים לשירותי Firebase. תצטרכו להעביר את מפתח האתר של reCAPTCHA, שיצרתם במסוף reCAPTCHA, אל activate().

Web

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaV3Provider } from "firebase/app-check";

const app = initializeApp({
  // Your firebase configuration object
});

// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaV3Provider('abcdefghijklmnopqrstuvwxy-1234567890abcd'),

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  isTokenAutoRefreshEnabled: true
});

Web

firebase.initializeApp({
  // Your firebase configuration object
});

const appCheck = firebase.appCheck();
// Pass your reCAPTCHA v3 site key (public key) to activate(). Make sure this
// key is the counterpart to the secret key you set in the Firebase console.
appCheck.activate(
  'abcdefghijklmnopqrstuvwxy-1234567890abcd',

  // Optional argument. If true, the SDK automatically refreshes App Check
  // tokens as needed.
  true);

השלבים הבאים

אחרי שמתקינים את ספריית App Check באפליקציה, פורסים אותה.

אפליקציית הלקוח המעודכנת תתחיל לשלוח טוקנים של App Check עם כל בקשה שהיא שולחת ל-Firebase, אבל מוצרי Firebase לא ידרשו שהטוקנים יהיו תקפים עד שתפעילו את האכיפה בקטע App Check במסוף Firebase.

מעקב אחרי מדדים והפעלת אכיפה

עם זאת, לפני שמפעילים את האכיפה, צריך לוודא שהפעולה הזו לא תשבש את השימוש של משתמשים לגיטימיים קיימים. מצד שני, אם אתם רואים שימוש חשוד במשאבי האפליקציה, כדאי להפעיל את האכיפה מוקדם יותר.

כדי לקבל החלטה מושכלת, אפשר לעיין במדדים של App Check בשירותים שבהם אתם משתמשים:

הפעלת האכיפה של App Check

אחרי שתבינו איך App Check ישפיע על המשתמשים שלכם ותהיו מוכנים להמשיך, תוכלו להפעיל את האכיפה של App Check:

שימוש ב-App Check בסביבות ניפוי באגים

אם אחרי שרשמתם את האפליקציה שלכם ל-App Check, אתם רוצים להריץ אותה בסביבה ש-App Check בדרך כלל לא מסווגת כסביבה תקפה, כמו בסביבה מקומית במהלך פיתוח או בסביבת שילוב רציף (CI), אתם יכולים ליצור גרסת ניפוי באגים של האפליקציה שמשתמשת בספק ניפוי הבאגים של App Check במקום בספק אימות אמיתי.

מידע נוסף זמין במאמר בנושא שימוש ב-App Check עם ספק ניפוי הבאגים באפליקציות אינטרנט.