Identity Platform in die reCAPTCHA Enterprise API einbinden

In diesem Dokument erfahren Sie, wie Sie die Identity Platform-Integration in die reCAPTCHA Enterprise API nutzen können, um die Sicherheit für Ihre Nutzer zu verbessern. Diese Funktion macht Ihre App widerstandsfähiger gegen Spam, Missbrauch und andere betrügerische Aktivitäten.

Bei der Integration wird in Ihrem Namen eine reCAPTCHA Enterprise-Bewertung erstellt, um Nutzeranfragen zu validieren. Informationen zu den Preisen finden Sie unter reCAPTCHA-Preise.

Übersicht

Wenn Sie die Identity Platform-Integration mit der reCAPTCHA Enterprise API einrichten, aktivieren Sie die Standardschutzfunktion von reCAPTCHA: den reCAPTCHA-Bot-Schutz. Beim Bot-Schutz stellt Identity Platform in Ihrem Namen auf Punktzahlen basierende reCAPTCHA-Schlüssel in Ihrem Projekt bereit. Wenn ein Nutzer über einen der folgenden Vorgänge auf Ihre App oder Website zugreift, lädt das Client SDK reCAPTCHA, sofern der entsprechende Anbieter aktiviert ist.

Anbieter Vorgang Methode
passwordProvider Anmeldung per E-Mail-Adresse und Passwort signInWithPassword
Registrierung mit E-Mail-Adresse und Passwort signUpPassword
Anmeldung mit E-Mail-Link getOobCode
Passwortzurücksetzung getOobCode
phoneProvider Registrierung oder Anmeldung über Telefonnummer sendVerificationCode
Registrierung der Telefonnummer für die MFA mfaSmsEnrollment
Anmeldung mit Telefonnummer für die 2‑Faktor-Authentifizierung mfaSmsSignIn

reCAPTCHA stellt Identity Platform dann Werte zur Verfügung, mit denen das Risiko der Anfrage basierend auf Ihrer Konfiguration und Risikotoleranz bewertet wird.

Weitere Informationen finden Sie unter Übersicht zu reCAPTCHA.

Hinweise

Je nach Art des Authentifizierungsablaufs, den Sie mit reCAPTCHA schützen möchten, müssen Sie Folgendes einrichten:

Dienstkonto erstellen

Für die Identity Platform-Integration mit der reCAPTCHA Enterprise API ist ein Identity Platform-Dienstkonto für jedes Projekt erforderlich, in dem reCAPTCHA verwendet wird. Dadurch kann Identity Platform reCAPTCHA-Schlüssel in Ihrem Namen verwalten. Wenn Sie bereits ein Dienstkonto erstellt haben, gewähren Sie ihm Zugriff auf reCAPTCHA.

Wenn Sie noch kein Dienstkonto erstellt haben oder zusätzliche Projekte mit reCAPTCHA schützen möchten, gehen Sie so vor:

  1. So erstellen Sie ein Dienstkonto mit der Google Cloud CLI:

    gcloud beta services identity create \
    --service=identitytoolkit.googleapis.com \
    --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID des Projekts.

  2. Gewähren Sie dem Dienstkonto Zugriff auf reCAPTCHA:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-identitytoolkit.iam.gserviceaccount.com \
    --role=roles/identitytoolkit.serviceAgent

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID
    • PROJECT_NUMBER: die Projektkontonummer

reCAPTCHA-Modi für den Bot-Schutz

Der reCAPTCHA-Botschutz bietet zwei Modi, mit denen Sie Nutzer schützen können: Prüfen und Erzwingen. Das Verhalten dieser Modi hängt vom Identitätsanbieter ab.

E‑Mail-Passwort-Anbieter

Die Modi „Prüfen“ und „Erzwingen“ verhalten sich bei Authentifizierungsabläufen mit E‑Mail-Adresse und Passwort so:

Audit-Modus

Wenn Sie die Erzwingung von E-Mail-Passwörtern auf den Prüfmodus festlegen, erstellt Identity Platform ein oder mehrere reCAPTCHA-Schlüssel in Ihrem Projekt, mit denen der Traffic zu Identity Platform-APIs bewertet wird, ohne dass Anfragen blockiert werden. Anhand der Messwerte, die im Prüfmodus ausgegeben werden, können Sie feststellen, ob Sie die reCAPTCHA-Erzwingung aktivieren sollten.

Erzwungener Modus

Wenn Sie die Erzwingung von E-Mail-Passwörtern auf „Erzwingen“ festlegen, erstellt Identity Platform ein oder mehrere reCAPTCHA-Schlüssel in Ihrem Projekt, mit denen der Traffic zu Identity Platform-APIs bewertet wird. API-Anfragen ohne reCAPTCHA-Token werden abgelehnt. Aktivieren Sie die Erzwingung erst, wenn Sie alle Ihre Clients zu einem SDK mit reCAPTCHA-Unterstützung migriert haben.

Bereitstellung der Smartphones

So verhalten sich die Modi „Prüfen“ und „Erzwingen“ bei Abläufen zur Telefonauthentifizierung.

Audit-Modus

Wenn Sie die Erzwingung der Telefonauthentifizierung auf den Prüfmodus festlegen, verwendet Identity Platform den reCAPTCHA-Botschutz für die App-Bestätigung. Wenn die Anfrage eines Nutzers die Gebührenbetrugsprüfung besteht, wird ein SMS-Bestätigungscode gesendet. Wenn die Anfrage eines Nutzers die Gebührenbetrugsprüfung nicht besteht und Sie das Client SDK verwenden, löst Identity Platform alternative Bestätigungsmethoden aus, um den Telefonauthentifizierungsablauf abzuschließen. Die akzeptierten Fallback-Methoden hängen von der Plattform Ihrer App ab.

Das Client SDK löst die alternativen Bestätigungsmethoden in den folgenden Szenarien aus:

  • Das reCAPTCHA-Token fehlt.
  • Das reCAPTCHA-Token ist ungültig oder abgelaufen.
  • Das reCAPTCHA-Token überschreitet den Schwellenwert für den Score nicht.
  • reCAPTCHA ist nicht richtig konfiguriert.

Achten Sie darauf, dass die alternativen Bestätigungsmethoden für die Plattform Ihrer App eingerichtet sind und bei Bedarf vom Client SDK ausgelöst werden können.

Web

Wenn die erste Bewertung des Botschutzes fehlschlägt, wird im Prüfmodus reCAPTCHA v2 zur Überprüfung verwendet. Daher müssen Sie die reCAPTCHA-Verifizierung (RecaptchaVerifier) einrichten und an die folgenden Telefonauthentifizierungsvorgänge übergeben:

  • verifyPhoneNumber
  • signInWithPhoneNumber
  • linkWithPhoneNumber
  • reauthenticateWithPhoneNumber
Ohne die reCAPTCHA-Verifizierung kann Identity Platform reCAPTCHA v2 nicht initiieren und gibt auth/argument-error zurück. Weitere Informationen zum Einrichten der reCAPTCHA-Verifizierung finden Sie in der Firebase-Dokumentation unter reCAPTCHA-Verifizierung einrichten.

Android

Wenn die erste Bewertung zum Schutz vor Bots fehlschlägt, wird Ihre App im Prüfmodus anhand der Play Integrity API geprüft. Wenn diese Überprüfung fehlschlägt, wird reCAPTCHA v2 ausgelöst. reCAPTCHA v2 kann in den folgenden Fällen ausgelöst werden:

  • Wenn auf dem Gerät des Nutzers die Google Play-Dienste nicht installiert sind.
  • Wenn die App nicht über den Google Play Store vertrieben wird (im Authentication SDK v21.2.0 und höher).
  • Wenn das abgerufene SafetyNet-Token nicht gültig war (bei Authentication SDK-Versionen vor v21.2.0).
Weitere Informationen zum Einrichten der Android-App-Überprüfung finden Sie in der Firebase-Dokumentation unter App-Überprüfung aktivieren.

iOS

Wenn die erste Bewertung des Bot-Schutzes fehlschlägt, wird im Prüfmodus die Bestätigung über lautlose Push-Benachrichtigungen durchgeführt. Bei dieser Bestätigungsmethode wird ein Token mit einer lautlosen Push-Benachrichtigung an Ihre App auf dem anfragenden Gerät gesendet. Wenn Ihre App die Benachrichtigung erfolgreich empfängt, wird die Smartphone-Authentifizierung fortgesetzt. Wenn Ihre App die Push-Benachrichtigung nicht empfängt, wird reCAPTCHA v2 ausgelöst. reCAPTCHA v2 wird möglicherweise ausgelöst, wenn stumme Push-Benachrichtigungen nicht richtig konfiguriert sind.

Weitere Informationen zum Einrichten der iOS-App-Überprüfung finden Sie in der Firebase-Dokumentation unter App-Überprüfung aktivieren.

Erzwungener Modus

Wenn Sie die Erzwingung der Telefonauthentifizierung auf den Erzwingungsmodus festlegen, verwendet Identity Platform den reCAPTCHA-Botschutz für die App-Bestätigung. Wenn die Anfrage eines Nutzers die Gebührenbetrugsprüfung besteht, wird ein SMS-Bestätigungscode gesendet. Wenn die Anfrage eines Nutzers die Gebührenbetrugsprüfung nicht besteht, blockiert Identity Platform die Anfrage und sendet keine SMS mit einem Bestätigungscode.

Im erzwungenen Modus ist keine Fallback-Bestätigung erforderlich. Sie müssen keine zusätzlichen Bestätigungsmethoden für Ihre App einrichten. Wir empfehlen jedoch, reCAPTCHA-Verifizierung für Web-Apps einzurichten, damit reCAPTCHA v2 aktiviert ist, wenn Sie den reCAPTCHA-Modus Ihrer App in AUDIT oder OFF ändern.

Identity Platform-Integration mit der reCAPTCHA Enterprise API einrichten

Um die Identity Platform-Integration mit der reCAPTCHA Enterprise API einzurichten, führen Sie die folgenden Aufgaben aus:

  • Mit dem Admin SDK können Sie den reCAPTCHA-Erzwingungsstatus festlegen und den Botschutz aktivieren.
  • Konfigurieren Sie das Client-SDK für die Plattform Ihrer App.

Wir empfehlen, die reCAPTCHA-Erzwingung zuerst im Prüfmodus zu aktivieren und die reCAPTCHA-Messwerte zu beobachten, die von Ihrem Projekt ausgegeben werden, um sicherzustellen, dass die Authentifizierungsabläufe angemessen geschützt sind. So unterbrechen Sie den Nutzer-Traffic nicht, während Sie die Verwendung von reCAPTCHA prüfen. Nachdem Sie überprüft haben, dass Ihre Authentifizierungsabläufe geschützt sind, stellen Sie den Botschutz auf ENFORCE ein.

reCAPTCHA-Bot-Schutz aktivieren

E‑Mail-Passwort-Anbieter

So aktivieren Sie den reCAPTCHA-Bot-Schutz für E-Mail-/Passwort-Authentifizierungsabläufe:

  1. Falls noch nicht geschehen, aktivieren Sie die reCAPTCHA Enterprise API für Ihr Projekt.

  2. Wenn Sie den Botschutz für ein Projekt aktivieren möchten, verwenden Sie das Admin SDK. Die reCAPTCHA-Unterstützung ist im Node.js Admin SDK ab Version 11.7.0 verfügbar.

    Beispiel:

    // Update project config with reCAPTCHA config
const updateConfigRequest = {
  recaptchaConfig: {
    emailPasswordEnforcementState:  'ENFORCE_MODE',
    managedRules: [{
      endScore: END_SCORE,
      action: 'BLOCK'
    }]
  }
};
const updateProjectConfigWithRecaptcha = () => {
  getAuth().projectConfigManager().updateProjectConfig(updateConfigRequest).then((response) => {
    console.log('Updated reCAPTCHA config for project: ', response.recaptchaConfig);
  }).catch((error) => {
    console.log('Error updating project config:', error);
  });
}

    Ersetzen Sie Folgendes:

    • ENFORCE_MODE: Der Modus, den Sie für die Erzwingung der reCAPTCHA-E-Mail-Passwort-Authentifizierung festlegen möchten. Gültige Werte sind OFF, AUDIT und ENFORCE. Wenn Sie den Botschutz aktivieren möchten, muss dieser Parameter auf AUDIT oder ENFORCE festgelegt sein. Wenn Sie den Botschutz zum ersten Mal aktivieren, empfehlen wir, diesen Parameter auf AUDIT festzulegen und dafür zu sorgen, dass Ihre Authentifizierungsabläufe geschützt sind, bevor Sie ihn auf ENFORCE festlegen. Weitere Informationen zur Funktionsweise der Modi finden Sie unter reCAPTCHA-Modi für den Bot-Schutz.
    • END_SCORE: Der niedrigste Bot-Schutz-Bewertungswert, den eine Anfrage haben kann, bevor sie fehlschlägt. Sie können diesen Wert zwischen 0.0 und 1.0 festlegen. Wenn Sie beispielsweise einen Schwellenwert von 0.6 festlegen, schlägt reCAPTCHA jede Anfrage mit einem Wert von 0.5 oder niedriger fehl. Je höher Sie den Wert festlegen, desto strenger sind die Regeln.

    Sie können den Botschutz auch mit derselben Konfigurationsmethode für einen Mandanten über das Admin SDK aktivieren. Weitere Informationen zum Aktualisieren eines Mandanten finden Sie unter Mandanten aktualisieren.

  3. Wenn Sie Identity Platform unter iOS oder Android verwenden, müssen Sie Ihre App in der Firebase Console registrieren:

    Wenn Sie Identity Platform im Web verwenden, müssen Sie für jede Domain, die reCAPTCHA verwendet, eine autorisierte Domain hinzufügen. So fügen Sie autorisierte Domains hinzu:

    1. Rufen Sie in der Google Cloud Console die Seite „Identity Platform“ auf.

      Zur Identity Platform

    2. Gehen Sie zu den Einstellungen > Sicherheit.

    3. Klicken Sie auf Domain hinzufügen.

    4. Geben Sie den Domainnamen ein und klicken Sie auf Hinzufügen, um die Domain zu speichern.

    Die Bereitstellung des reCAPTCHA-Schlüssels kann einige Minuten dauern.

  4. Wenn Sie die Erzwingung auf den Prüfmodus eingestellt haben, empfehlen wir, die reCAPTCHA-Messwerte für den Botschutz im Blick zu behalten, um sicherzustellen, dass Ihre Abläufe geschützt sind.

Bereitstellung der Smartphones

So aktivieren Sie den reCAPTCHA-Botschutz für SMS-basierte Authentifizierungsabläufe:

  1. Falls noch nicht geschehen, aktivieren Sie die reCAPTCHA Enterprise API für Ihr Projekt.

  2. Wenn Sie den Botschutz für ein Projekt aktivieren möchten, verwenden Sie das Admin SDK. Die reCAPTCHA-Unterstützung ist im Node.js Admin SDK ab Version 12.7.0 verfügbar.

    Beispiel:

    // Update project config with reCAPTCHA config
const updateProjectConfigRequest = {
  recaptchaConfig: {
    phoneEnforcementState: 'ENFORCE_MODE',
    managedRules: [{ endScore: END_SCORE, action: 'BLOCK' }],
    useSmsBotScore: 'true',
  }
}
let projectConfig = await getAuth().projectConfigManager().updateProject(updateProjectConfigRequest);

    Ersetzen Sie Folgendes:

    • ENFORCE_MODE: Der Modus, den Sie für die Erzwingung der reCAPTCHA-Telefonauthentifizierung festlegen möchten. Gültige Werte sind OFF, AUDIT und ENFORCE. Wenn Sie den Botschutz für SMS-basierte Abläufe aktivieren möchten, muss dieser Parameter auf AUDIT oder ENFORCE und useSmsBotScore auf true festgelegt sein.

      Wenn Sie den Botschutz zum ersten Mal aktivieren, empfehlen wir, diesen Parameter auf AUDIT festzulegen und dafür zu sorgen, dass Ihre Authentifizierungsabläufe geschützt sind, bevor Sie ihn auf ENFORCE festlegen. Weitere Informationen zur Funktionsweise der Modi finden Sie unter reCAPTCHA-Modi für den Bot-Schutz.

    • END_SCORE: Der niedrigste Bot-Schutz-Bewertungswert, den eine Anfrage haben kann, bevor sie fehlschlägt. Sie können diesen Wert zwischen 0.0 und 1.0 festlegen. Wenn Sie beispielsweise einen Schwellenwert von 0.6 festlegen, schlägt reCAPTCHA jede Anfrage mit einem Wert von 0.5 oder niedriger fehl. Je höher Sie den Wert festlegen, desto strenger sind die Regeln.

    Sie können den Botschutz auch mit derselben Konfigurationsmethode für einen Mandanten über das Admin SDK aktivieren. Weitere Informationen zum Aktualisieren eines Mandanten finden Sie unter Mandanten aktualisieren.

  3. Wenn Sie Identity Platform unter iOS oder Android verwenden, müssen Sie Ihre App in der Firebase Console registrieren:

    Wenn Sie Identity Platform im Web verwenden, müssen Sie für jede Domain, die reCAPTCHA verwendet, eine autorisierte Domain hinzufügen. So fügen Sie autorisierte Domains hinzu:

    1. Rufen Sie in der Google Cloud Console die Seite „Identity Platform“ auf.

      Zur Identity Platform

    2. Gehen Sie zu den Einstellungen > Sicherheit.

    3. Klicken Sie auf Domain hinzufügen.

    4. Geben Sie den Domainnamen ein und klicken Sie auf Hinzufügen, um die Domain zu speichern.

    Die Bereitstellung des reCAPTCHA-Schlüssels kann einige Minuten dauern.

  4. Wenn Sie die Erzwingung auf den Prüfmodus eingestellt haben, empfehlen wir, die reCAPTCHA-Messwerte für den Botschutz im Blick zu behalten, um sicherzustellen, dass Ihre Abläufe geschützt sind.

Client SDK konfigurieren

Konfigurieren Sie das Client SDK entsprechend der Plattform Ihrer App.

Web

  1. Aktualisieren Sie auf die neueste Version des Web-SDK.

    • Die reCAPTCHA-Unterstützung für die E-Mail-Adresse und Passwort-Authentifizierung in Web-Apps ist in JavaScript SDK-Versionen 9.20.0 und höher verfügbar.
    • reCAPTCHA-Unterstützung für die Telefonauthentifizierung in Web-Apps ist in JavaScript SDK-Versionen 11 und höher verfügbar.

    Nachdem Sie das Web-SDK in Ihre App eingebunden haben, ruft das SDK automatisch Ihre reCAPTCHA-Konfiguration ab und aktiviert den Schutz für die von Ihnen konfigurierten Anbieter.

  2. Bei Bedarf können Sie das reCAPTCHA-Signal so abrufen:

    import { initializeRecaptchaConfig } from '@firebase/auth';

// Initialize Firebase Authentication
const auth = getAuth();
initializeRecaptchaConfig(auth)
  .then(() => {
    console.log("Recaptcha Enterprise Config Initialization successful.")
  })
  .catch((error) => {
    console.error("Recaptcha Enterprise Config Initialization failed with " + error)
  });

Android

  1. Aktualisieren Sie auf die neueste Version des Android SDK. Die reCAPTCHA-Unterstützung für die E‑Mail- und Passwortauthentifizierung sowie die Telefonauthentifizierung in Android-Apps ist ab Android SDK-Version 23.1.0 verfügbar.

    Außerdem ist für die reCAPTCHA-Unterstützung API-Level 23 (Marshmallow) oder höher und Android 6 oder höher erforderlich.

    Nachdem Sie das Android SDK in Ihre App eingebunden haben, ruft das SDK automatisch Ihre reCAPTCHA-Konfiguration ab und aktiviert den Schutz für die von Ihnen konfigurierten Anbieter.

  2. Fügen Sie die folgende Build-Regel in den Abschnitt „dependencies“ Ihrer build.gradle-Datei auf App-Ebene ein:

    implementation 'com.google.android.recaptcha:recaptcha:18.5.1'

    Verwenden Sie reCAPTCHA SDK-Version 18.5.1 oder höher.

  3. Bei Bedarf können Sie das reCAPTCHA-Signal so abrufen:

    • Kotlin:
    // Initialize Firebase Authentication
auth = Firebase.auth

auth.initializeRecaptchaConfig().addOnCompleteListener(this) { task ->
    if (task.isSuccessful) {
        Log.d(TAG, "Recaptcha Enterprise Initialization successful.")
    } else {
        Log.w(TAG, "Recaptcha Enterprise Initialization failed.")
    }
}
    • Java:
    // Initialize Firebase Authentication
auth = FirebaseAuth.getInstance();
auth.initializeRecaptchaConfig().addOnCompleteListener(
  this, new OnCompleteListener<void>() {
  @Override
  public void onComplete(@NonNull Task<void> task) {
    if (task.isSuccessful()) {
      Log.d(TAG, "Recaptcha Enterprise Initialization successful.");
    } else {
      Log.w(TAG, "Recaptcha Enterprise Initialization failed.");
    }
  }
});

iOS

  1. Aktualisieren Sie auf iOS SDK-Version 11.6.0 oder höher. Nachdem Sie das iOS SDK in Ihre App eingebunden haben, ruft das SDK automatisch Ihre reCAPTCHA-Konfiguration ab und aktiviert den Schutz für die von Ihnen konfigurierten Anbieter.

  2. Informationen zum Einbinden des reCAPTCHA iOS SDK in Ihre App finden Sie unter Umgebung vorbereiten.

  3. Achten Sie darauf, dass -ObjC in Ihren Linker-Flags aufgeführt ist. Gehen Sie zu Ziel > Build-Einstellungen > Alle > Verknüpfen und prüfen Sie, ob Other Linker Flags -ObjC anzeigt.

  4. Bei Bedarf können Sie das reCAPTCHA-Signal so abrufen:

    • Swift:
    // Initialize Firebase Authentication
try await Auth.auth().initializeRecaptchaConfig()
    • Objective-C:
    // Initialize Firebase Authentication
[[FIRAuth auth] initializeRecaptchaConfigWithCompletion:^(NSError * _Nullable error) {
  // Firebase Authentication initialization finished
}];

reCAPTCHA-Messwerte für den Bot-Schutz im Blick behalten

Bevor Sie den erzwungenen Modus für reCAPTCHA aktivieren, empfehlen wir, den Prüfmodus zu verwenden und die von Ihrem Projekt ausgegebenen reCAPTCHA-Messwerte zu beobachten, um sicherzustellen, dass die Authentifizierungsabläufe geschützt sind. Anhand dieser Messwerte können Sie beispielsweise feststellen, ob Sie die Identity Platform-Integration mit der reCAPTCHA Enterprise API richtig eingerichtet haben. Außerdem können Sie damit den Schwellenwert für die Punktzahl für Ihren Nutzertraffic optimieren. Wenn die Bereitstellung des reCAPTCHA-Schlüssels fehlschlägt oder erforderliche Dienstkonten nicht erstellt wurden, sind reCAPTCHA-Authentifizierungsversuche weiterhin erfolgreich.

Prüfen Sie anhand der folgenden Messwerte, die Ihr Projekt an Cloud Monitoring sendet, ob die reCAPTCHA-Authentifizierung funktioniert:

Weitere Informationen finden Sie unter reCAPTCHA-Messwerte im Blick behalten.

reCAPTCHA-Bot-Schutz erzwingen

Nachdem Sie bestätigt haben, dass Ihre App akzeptablen Nutzertraffic empfängt, können Sie die reCAPTCHA-Durchsetzung aktivieren, um Ihre Nutzer zu schützen. Achten Sie darauf, dass bestehende Nutzer nicht beeinträchtigt werden, auch nicht Nutzer, die möglicherweise eine ältere Version Ihrer App verwenden.

E‑Mail-Passwort-Anbieter

Wenn Sie die reCAPTCHA-Durchsetzung für E-Mail-Passwort-Authentifizierungsabläufe in einem Projekt oder Mandanten aktivieren möchten, führen Sie mit dem Admin SDK Folgendes aus:

const enforceRequest = {
  recaptchaConfig: {
    emailPasswordEnforcementState:  'ENFORCE',
    }]
  }
};

Bereitstellung der Smartphones

Wenn Sie die reCAPTCHA-Durchsetzung für SMS-basierte Authentifizierungsabläufe in einem Projekt oder Mandanten aktivieren möchten, führen Sie mit dem Admin SDK Folgendes aus:

const enforceRequest = {
  recaptchaConfig: {
    phoneEnforcementState:  'ENFORCE',
    useSmsBotScore: 'true'
    }]
  }
};

reCAPTCHA-Bot-Schutz deaktivieren

E‑Mail-Passwort-Anbieter

Wenn Sie den Botschutz für die E-Mail-Passwort-Authentifizierung deaktivieren möchten, führen Sie den folgenden Befehl mit dem Admin SDK aus:

const disableRequest = {
  recaptchaConfig: {
    emailPasswordEnforcementState:  'OFF',
  }
};

Bereitstellung der Smartphones

Wenn Sie den Botschutz für SMS-basierte Authentifizierungsabläufe deaktivieren möchten, führen Sie den folgenden Befehl mit dem Admin SDK aus:

const disableRequest = {
  recaptchaConfig: {
    phoneEnforcementState:  'OFF',
    useSmsBotScore: 'false'
  }
};

reCAPTCHA-Ergebnisse mit Cloud Run Functions überschreiben

Zusätzlich zur Konfiguration von Punktzahlgrenzwerten können Sie ein reCAPTCHA-Ergebnis für ein bestimmtes Token mit einer benutzerdefinierten Cloud Run Functions-Blockierungsfunktion überschreiben. Dies ist hilfreich, wenn die reCAPTCHA-Punktzahl für die Anmeldung eines bestimmten Nutzers niedrig ist, der Nutzer aber vertrauenswürdig ist oder auf andere Weise bestätigt wurde und sich daher anmelden darf.

Weitere Informationen zum Konfigurieren von Blockierfunktionen mit reCAPTCHA finden Sie unter Firebase Authentication mit blockierenden Cloud Functions erweitern.

Nächste Schritte