Comienza a usar la Verificación de aplicaciones mediante reCAPTCHA Enterprise en apps web

En esta página, se muestra cómo habilitar la Verificación de aplicaciones en una app web mediante el proveedor integrado de reCAPTCHA Enterprise. Cuando habilitas la Verificación de aplicaciones, ayudas a garantizar que solo la app pueda acceder a los recursos de Firebase de tu proyecto. Consulta una descripción general de esta función.

Ten en cuenta que la Verificación de aplicaciones usa claves de sitio basadas en puntuaciones de reCAPTCHA Enterprise, que la vuelven invisible para los usuarios. El proveedor de reCAPTCHA Enterprise no exigirá que los usuarios resuelvan desafíos en ningún momento.

Si quieres usar la Verificación de aplicaciones mediante tu proveedor personalizado, consulta Implementa un proveedor personalizado para la Verificación de aplicaciones.

1. Configura el proyecto de Firebase

  1. Si aún no lo has hecho, agrega Firebase al proyecto de JavaScript.

  2. Abre la sección reCAPTCHA Enterprise de Cloud Console y haz lo siguiente:

    1. Habilita la API de reCAPTCHA Enterprise si se te solicita hacerlo.
    2. Crea una clave de tipo Sitio web. Deberás especificar los dominios en los que alojas tu app web. Deja la opción “Usar el desafío de la casilla de verificación” sin seleccionar.
  3. Registra tus apps para que usen la Verificación de aplicaciones mediante el proveedor de reCAPTCHA Enterprise en la sección Verificación de aplicaciones de Firebase console. Deberás proporcionar la clave de sitio que obtuviste en el paso anterior.

    Por lo general, debes registrar todas las apps de tu proyecto, ya que una vez que habilites la aplicación forzosa para un producto de Firebase, solo las apps registradas podrán acceder a los recursos de backend del producto.

  4. Opcional: En los parámetros de configuración del registro de la app, configura un tiempo de actividad (TTL) personalizado para los tokens de la Verificación de aplicaciones que emite el proveedor. Puedes configurar el TTL en cualquier valor entre 30 minutos y 7 días. Cuando cambies este valor, ten en cuenta las siguientes compensaciones:

    • Seguridad: Los TTL más cortos proporcionan una mayor seguridad, ya que reducen el período en el que un atacante puede abusar de un token filtrado o interceptado.
    • Rendimiento: Si usas TTL más cortos, la app realizará la certificación con mayor frecuencia. Debido a que el proceso de certificación de la app agrega latencia a las solicitudes de red cada vez que se realiza, un TTL corto puede afectar el rendimiento de la app.
    • Cuota y costo: Los TTL más cortos y las certificaciones frecuentes agotan tu cuota con mayor rapidez. Además, en el caso de los servicios pagados, es posible que tengan un costo mayor. Consulta Cuotas y límites.

    El TTL predeterminado de 1 hora es razonable para la mayoría de las apps. Ten en cuenta que la biblioteca de Verificación de aplicaciones actualiza los tokens aproximadamente en la mitad de la duración del TTL.

2. Agrega la biblioteca de la Verificación de aplicaciones a la app

Si aún no lo has hecho, agrega Firebase a la app web. Asegúrate de importar la biblioteca de la Verificación de aplicaciones.

3. Inicializa la Verificación de aplicaciones

Agrega el siguiente código de inicialización a la aplicación antes de acceder a cualquier servicio de Firebase. Deberás pasar la clave del sitio de reCAPTCHA Enterprise, la cual creaste en la consola de Cloud, a activate().

Web

import { initializeApp } from "firebase/app";
import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check";

const app = initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to initializeAppCheck().
const appCheck = initializeAppCheck(app, {
  provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */),
  isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh.
});

Web

firebase.initializeApp({
  // Your Firebase configuration object.
});

// Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise
// site key and pass it to activate().
const appCheck = firebase.appCheck();
appCheck.activate(
  new firebase.appCheck.ReCaptchaEnterpriseProvider(
    /* reCAPTCHA Enterprise site key */
  ),
  true // Set to true to allow auto-refresh.
);

Próximos pasos

Una vez que la biblioteca de la Verificación de aplicaciones esté instalada en la app, debes implementarla.

La app cliente actualizada comenzará a enviar tokens de la Verificación de aplicaciones junto con cada solicitud que realice a Firebase, pero los productos de Firebase no requerirán que los tokens sean válidos hasta que habilites la aplicación forzosa en la sección de la Verificación de aplicaciones de Firebase console.

Supervisa las métricas y habilita la aplicación forzosa

Sin embargo, antes de habilitar la aplicación forzosa, debes asegurarte de que esto no interrumpa a tus usuarios legítimos existentes. Por otro lado, si ves un uso sospechoso de los recursos de tu app, te convendrá habilitar la aplicación más pronto.

Para ayudarte a tomar esta decisión, puedes consultar las métricas de la Verificación de aplicaciones para los servicios que usas:

Habilita la aplicación forzosa de la Verificación de aplicaciones

Cuando comprendas cómo la Verificación de aplicaciones afectará a los usuarios y cuentes con todo lo necesario para continuar, puedes habilitar la aplicación forzosa de la Verificación de aplicaciones:

Usa la Verificación de aplicaciones en entornos de depuración

Si, después de registrar la app en la Verificación de aplicaciones, quieres ejecutarla en un entorno que la Verificación de aplicaciones no suele clasificar como válido, como de forma local durante el desarrollo, o desde un entorno de integración continua (CI), puedes crear una compilación de depuración de la app que use el proveedor de depuración de la Verificación de aplicaciones, en lugar de un proveedor de certificación real.

Consulta Usa la Verificación de aplicaciones mediante el proveedor de depuración en aplicaciones web.

Nota sobre el costo

La Verificación de aplicaciones crea una evaluación en tu nombre para validar el token de respuesta del usuario cada vez que un navegador que ejecuta tu app web actualiza el token de Verificación de aplicaciones. Tu proyecto se cobrará por cada evaluación creada por encima de la cuota sin costo. Consulta los precios de reCAPTCHA para obtener más información.

De forma predeterminada, la app web actualiza este token dos veces cada 1 hora. Para controlar la frecuencia con que tu app actualiza los tokens de Verificación de aplicaciones (y, por lo tanto, con qué frecuencia se crean evaluaciones nuevas), configura su TTL.