इस पेज पर, reCAPTCHA Enterprise provider का इस्तेमाल करके, वेब ऐप्लिकेशन में App Check को चालू करने का तरीका बताया गया है. App Check चालू करने पर, यह पक्का करने में मदद मिलती है कि सिर्फ़ आपका ऐप्लिकेशन ही आपके प्रोजेक्ट के बैकएंड संसाधनों को ऐक्सेस कर सकता है. इस सुविधा के बारे में खास जानकारी देखें.
ध्यान दें कि App Check, स्कोर पर आधारित reCAPTCHA Enterprise की साइट कुंजियों का इस्तेमाल करता है. इससे यह उपयोगकर्ताओं को नहीं दिखता. reCAPTCHA Enterprise की सेवा देने वाली कंपनी, उपयोगकर्ताओं को किसी भी समय चैलेंज हल करने के लिए नहीं कहेगी.
अगर आपको reCAPTCHA Enterprise की ऐसी सुविधाओं की ज़रूरत है जिन्हें App Check ने लागू नहीं किया है या आपको App Check को अपने कस्टम प्रोवाइडर के साथ इस्तेमाल करना है, तो कस्टम App Check प्रोवाइडर लागू करना लेख पढ़ें.
1. अपना Firebase प्रोजेक्ट सेट अप करना
अगर आपने पहले से ही अपने JavaScript प्रोजेक्ट में Firebase नहीं जोड़ा है, तो ऐसा करें.
Cloud Console के reCAPTCHA Enterprise सेक्शन को खोलें और यह काम करें:
- अगर आपको reCAPTCHA Enterprise API चालू करने के लिए कहा जाता है, तो ऐसा करें.
- वेबसाइट टाइप की कुंजी बनाएं. आपको उन डोमेन के बारे में बताना होगा जिन पर आपने अपना वेब ऐप्लिकेशन होस्ट किया है. "चेकबॉक्स चैलेंज का इस्तेमाल करें" विकल्प को अनचेक करें.
Firebase कंसोल के App Check सेक्शन में जाकर, reCAPTCHA Enterprise की सेवा देने वाली कंपनी के साथ App Check का इस्तेमाल करने के लिए, अपने ऐप्लिकेशन रजिस्टर करें. आपको पिछले चरण में मिली साइट कुंजी देनी होगी.
आम तौर पर, आपको अपने प्रोजेक्ट के सभी ऐप्लिकेशन रजिस्टर करने होते हैं. ऐसा इसलिए, क्योंकि किसी Firebase प्रॉडक्ट के लिए एनफ़ोर्समेंट चालू करने के बाद, सिर्फ़ रजिस्टर किए गए ऐप्लिकेशन ही प्रॉडक्ट के बैकएंड संसाधनों को ऐक्सेस कर पाएंगे.
ज़रूरी नहीं है: ऐप्लिकेशन रजिस्ट्रेशन की सेटिंग में, सेवा देने वाली कंपनी की ओर से जारी किए गए App Check टोकन के लिए, टाइम-टू-लाइव (टीटीएल) का कस्टम समय सेट करें. टीटीएल को 30 मिनट से लेकर सात दिनों के बीच की किसी भी वैल्यू पर सेट किया जा सकता है. इस वैल्यू को बदलते समय, इन बातों का ध्यान रखें:
- सुरक्षा: टीटीएल कम होने पर, सुरक्षा बेहतर होती है. ऐसा इसलिए, क्योंकि इससे उस समयावधि में कमी आती है जिसमें हमलावर, लीक हुए या इंटरसेप्ट किए गए टोकन का गलत इस्तेमाल कर सकता है.
- परफ़ॉर्मेंस: टीटीएल कम होने का मतलब है कि आपका ऐप्लिकेशन, पुष्टि करने की प्रोसेस को ज़्यादा बार करेगा. ऐप्लिकेशन की पुष्टि करने की प्रोसेस से, नेटवर्क अनुरोधों में हर बार कुछ समय लगता है. इसलिए, टीटीएल कम होने से आपके ऐप्लिकेशन की परफ़ॉर्मेंस पर असर पड़ सकता है.
- कोटा और लागत: टीटीएल कम होने और बार-बार पुष्टि करने से, आपका कोटा तेज़ी से खत्म हो जाता है. साथ ही, पैसे चुकाकर ली जाने वाली सेवाओं के लिए, आपको ज़्यादा शुल्क देना पड़ सकता है. कोटा और सीमाएं देखें.
ज़्यादातर ऐप्लिकेशन के लिए, डिफ़ॉल्ट टीटीएल एक घंटा सही होता है. ध्यान दें कि App Check लाइब्रेरी, टीटीएल की अवधि के करीब आधे समय में टोकन रीफ़्रेश करती है.
बेहतर सेटिंग कॉन्फ़िगर करना (ज़रूरी नहीं)
जब कोई उपयोगकर्ता आपके वेब ऐप्लिकेशन पर जाता है, तो reCAPTCHA Enterprise यह आकलन करता है कि उपयोगकर्ता के इंटरैक्शन से कितना जोखिम है. इसके बाद, वह 0.0 से 1.0 के बीच का स्कोर दिखाता है. यह स्कोर 0.1 के अंतर से बढ़ता है. स्कोर 1.0 का मतलब है कि इंटरैक्शन में जोखिम कम है और यह मान्य हो सकता है. वहीं, 0.0 का मतलब है कि इंटरैक्शन में जोखिम ज़्यादा है और यह धोखाधड़ी वाला हो सकता है. App Check की मदद से, ऐप्लिकेशन के जोखिम का थ्रेशोल्ड कॉन्फ़िगर किया जा सकता है. इससे, इस जोखिम के लिए अपनी सीमा तय की जा सकती है.
ज़्यादातर इस्तेमाल के मामलों के लिए, थ्रेशोल्ड की डिफ़ॉल्ट वैल्यू 0.5 इस्तेमाल करने का सुझाव दिया जाता है. अगर आपको इस्तेमाल के तरीके में बदलाव करना है, तो इसे अपने हर वेब ऐप्लिकेशन के लिए Firebase कंसोल के App Check सेक्शन में कॉन्फ़िगर किया जा सकता है.
विवरण
App Check, आपके कॉन्फ़िगर किए गए ऐप्लिकेशन के जोखिम थ्रेशोल्ड का इस्तेमाल करता है. यह थ्रेशोल्ड, उपयोगकर्ता के इंटरैक्शन को सही मानने के लिए ज़रूरी कम से कम reCAPTCHA Enterprise स्कोर के तौर पर काम करता है. आपके कॉन्फ़िगर किए गए थ्रेशोल्ड से कम स्कोर वाले सभी reCAPTCHA Enterprise स्कोर अस्वीकार कर दिए जाएंगे. ऐप्लिकेशन के जोखिम के थ्रेशोल्ड में बदलाव करते समय, इन बातों का ध्यान रखें:
reCAPTCHA Enterprise के स्कोर के 11 लेवल में से, सिर्फ़ ये चार लेवल उपलब्ध होते हैं: 0.1, 0.3, 0.7, और 0.9. ये लेवल तब तक उपलब्ध होते हैं, जब तक आपने अपने प्रोजेक्ट में Google Cloud Billing खाता नहीं जोड़ा होता. इस दौरान, App Check सिर्फ़ 0.1, 0.3, 0.5, 0.7, और 0.9 के ऐप्लिकेशन रिस्क थ्रेशोल्ड वैल्यू की अनुमति देगा. ज़्यादातर इस्तेमाल के मामलों के लिए, ऐप्लिकेशन के जोखिम के थ्रेशोल्ड की वैल्यू 0.5 रखने का सुझाव दिया जाता है.
reCAPTCHA Enterprise के सभी 11 स्कोर लेवल चालू करने के लिए, अपने प्रोजेक्ट में Google Cloud Billing खाता जोड़ें. ऐसा करने का एक तरीका यह है कि ब्लेज़ प्राइसिंग प्लान पर अपग्रेड करें. ऐसा करने के बाद, App Check की मदद से, किसी भी ऐप्लिकेशन के जोखिम के थ्रेशोल्ड की वैल्यू को 0.0 से 1.0 के बीच कॉन्फ़िगर किया जा सकता है. वैल्यू को 0.1 के अंतर से बढ़ाया जा सकता है.
अपने वेब ऐप्लिकेशन के लिए, reCAPTCHA Enterprise के ज़्यादा और कम स्कोर के डिस्ट्रिब्यूशन को मॉनिटर करने के लिए, Google Cloud कंसोल में reCAPTCHA Enterprise पेज पर जाएं. इसके बाद, अपने वेब ऐप्लिकेशन के लिए इस्तेमाल की गई साइट की कुंजी चुनें.
अगर आपको ऐप्लिकेशन से जुड़े कम जोखिम की आशंका है, तो ऐप्लिकेशन से जुड़े जोखिम के थ्रेशोल्ड को बढ़ाने के लिए, स्लाइडर को बाईं ओर ले जाएं.
- हम 1.0 वैल्यू का सुझाव नहीं देते, क्योंकि इस सेटिंग की वजह से, उन असली उपयोगकर्ताओं को भी ऐक्सेस से रोका जा सकता है जो भरोसेमंद होने की इस थ्रेशोल्ड को पूरा नहीं करते.
अगर आपको ऐप्लिकेशन से जुड़े ज़्यादा जोखिम से कोई समस्या नहीं है, तो ऐप्लिकेशन से जुड़े जोखिम के थ्रेशोल्ड को कम करने के लिए, स्लाइडर को दाईं ओर ले जाएं.
- 0.0 वैल्यू का इस्तेमाल करने का सुझाव नहीं दिया जाता, क्योंकि इस सेटिंग से गलत इस्तेमाल से सुरक्षा पाने की सुविधा बंद हो जाती है.
ज़्यादा जानकारी के लिए, reCAPTCHA Enterprise का दस्तावेज़ देखें.
2. अपने ऐप्लिकेशन में App Check लाइब्रेरी जोड़ना
अगर आपने पहले से ऐसा नहीं किया है, तो अपने वेब ऐप्लिकेशन में Firebase जोड़ें. App Check लाइब्रेरी को इंपोर्ट करना न भूलें.
3. App Check शुरू करें
Firebase की किसी भी सेवा को ऐक्सेस करने से पहले, अपने ऐप्लिकेशन में यहां दिया गया कोड जोड़ें. आपको अपनी reCAPTCHA Enterprise साइट की कुंजी को activate() पर भेजना होगा. यह कुंजी, Cloud Console में बनाई गई थी.
Web
import { initializeApp } from "firebase/app"; import { initializeAppCheck, ReCaptchaEnterpriseProvider } from "firebase/app-check"; const app = initializeApp({ // Your Firebase configuration object. }); // Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise // site key and pass it to initializeAppCheck(). const appCheck = initializeAppCheck(app, { provider: new ReCaptchaEnterpriseProvider(/* reCAPTCHA Enterprise site key */), isTokenAutoRefreshEnabled: true // Set to true to allow auto-refresh. });
Web
firebase.initializeApp({ // Your Firebase configuration object. }); // Create a ReCaptchaEnterpriseProvider instance using your reCAPTCHA Enterprise // site key and pass it to activate(). const appCheck = firebase.appCheck(); appCheck.activate( new firebase.appCheck.ReCaptchaEnterpriseProvider( /* reCAPTCHA Enterprise site key */ ), true // Set to true to allow auto-refresh. );
अगले चरण
अपने ऐप्लिकेशन में App Check लाइब्रेरी इंस्टॉल करने के बाद, इसे डिप्लॉय करें.
अपडेट किया गया क्लाइंट ऐप्लिकेशन, Firebase को किए जाने वाले हर अनुरोध के साथ App Check टोकन भेजेगा. हालांकि, Firebase प्रॉडक्ट को टोकन के मान्य होने की ज़रूरत तब तक नहीं होगी, जब तक Firebase कंसोल के App Check सेक्शन में जाकर, टोकन के इस्तेमाल को लागू नहीं किया जाता.
मेट्रिक मॉनिटर करना और उल्लंघन ठीक करने के तरीके लागू करना
हालांकि, नीति उल्लंघन ठीक करने के लिए कार्रवाई करने की सुविधा चालू करने से पहले, आपको यह पक्का करना होगा कि इससे आपके मौजूदा असली उपयोगकर्ताओं को कोई परेशानी न हो. दूसरी ओर, अगर आपको अपने ऐप्लिकेशन के संसाधनों का संदिग्ध इस्तेमाल दिख रहा है, तो आपको नीति उल्लंघन ठीक करने के लिए, जल्द से जल्द कार्रवाई शुरू करनी चाहिए.
यह फ़ैसला लेने के लिए, इस्तेमाल की जा रही सेवाओं के लिए App Check मेट्रिक देखें:
- Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, iOS के लिए Google Identity, Maps JavaScript API, और Places API (नया) के लिए, App Check अनुरोध की मेट्रिक मॉनिटर करें.
- Cloud Functions के लिए App Check अनुरोध की मेट्रिक मॉनिटर करें.
App Check लागू करने की सुविधा चालू करना
जब आपको यह समझ आ जाए कि App Check से आपके उपयोगकर्ताओं पर क्या असर पड़ेगा और आप आगे बढ़ने के लिए तैयार हों, तब App Check को लागू किया जा सकता है:
- Firebase AI Logic, Data Connect, Realtime Database, Cloud Firestore, Cloud Storage, Authentication, iOS के लिए Google Identity, Maps JavaScript API, और Places API (नया) के लिए, App Check लागू करने की सुविधा चालू करें.
- Cloud Functions के लिए, App Check लागू करने की सुविधा चालू करें.
डीबग एनवायरमेंट में App Check का इस्तेमाल करना
अगर आपने App Check के लिए अपना ऐप्लिकेशन रजिस्टर कर लिया है और आपको अपने ऐप्लिकेशन को ऐसे एनवायरमेंट में चलाना है जिसे App Check आम तौर पर मान्य नहीं मानता, तो आपके पास अपने ऐप्लिकेशन का डीबग बिल्ड बनाने का विकल्प होता है. जैसे, डेवलपमेंट के दौरान स्थानीय तौर पर या कंटीन्यूअस इंटिग्रेशन (सीआई) एनवायरमेंट से. यह बिल्ड, पुष्टि करने वाली असली कंपनी के बजाय App Check के डीबग प्रोवाइडर का इस्तेमाल करता है.
वेब ऐप्लिकेशन में डीबग प्रोवाइडर के साथ App Check का इस्तेमाल करना लेख पढ़ें.
लागत के बारे में जानकारी
App Check आपकी ओर से एक आकलन बनाता है, ताकि उपयोगकर्ता के रिस्पॉन्स टोकन की पुष्टि की जा सके. ऐसा तब होता है, जब आपका वेब ऐप्लिकेशन चलाने वाला ब्राउज़र, अपने App Check टोकन को रीफ़्रेश करता है. बिना किसी शुल्क के उपलब्ध कोटे से ज़्यादा आकलन बनाने पर, आपके प्रोजेक्ट से शुल्क लिया जाएगा. ज़्यादा जानकारी के लिए, reCAPTCHA की कीमत देखें.
डिफ़ॉल्ट रूप से, आपका वेब ऐप्लिकेशन इस टोकन को हर एक घंटे में दो बार रीफ़्रेश करेगा. अगर आपको यह कंट्रोल करना है कि आपका ऐप्लिकेशन कितनी बार App Check टोकन रीफ़्रेश करता है (और इस तरह, कितनी बार नए आकलन बनाए जाते हैं), तो उनके टीटीएल को कॉन्फ़िगर करें.