Identity Platform mit der reCAPTCHA Enterprise API integrieren

In diesem Dokument erfahren Sie, wie Sie die Identity Platform-Integration mit der reCAPTCHA Enterprise API verwenden, um die Sicherheit für Ihre Nutzer zu erhöhen. Mit dieser Funktion ist Ihre App besser gegen Spam, Missbrauch und andere betrügerische Aktivitäten geschützt.

Durch die Einbindung wird in Ihrem Namen eine reCAPTCHA Enterprise-Bewertung erstellt, um Nutzeranfragen zu validieren. Preisinformationen finden Sie unter Preise für reCAPTCHA.

Übersicht

Wenn Sie die Identity Platform-Integration mit der reCAPTCHA Enterprise API einrichten, aktivieren Sie die Standardschutzfunktion von reCAPTCHA: den reCAPTCHA-Bot-Schutz. Mit dem Bot-Schutz stellt die Identity Platform in Ihrem Namen punktebasierte reCAPTCHA-Schlüssel in Ihrem Projekt bereit. Wenn ein Nutzer über einen der folgenden Vorgänge auf Ihre App oder Website zugreift, lädt das Client SDK reCAPTCHA, wenn der entsprechende Anbieter aktiviert ist.

Anbieter Aktion Methode
passwordProvider Anmeldung per E-Mail-Adresse und Passwort signInWithPassword
Anmeldung per E-Mail-Adresse und Passwort signUpPassword
Anmeldung über E-Mail-Link getOobCode
Passwortzurücksetzung getOobCode
phoneProvider Registrierung oder Anmeldung über Telefonnummer sendVerificationCode
Registrierung einer Telefonnummer für die Bestätigung in zwei Schritten mfaSmsEnrollment
Anmeldung per Telefonnummer mit Bestätigung in zwei Schritten mfaSmsSignIn

reCAPTCHA stellt der Identity Platform dann Bewertungen zur Verfügung, mit denen das Risiko der Anfrage anhand Ihrer Konfiguration und Risikotoleranz bewertet wird.

Weitere Informationen finden Sie unter Übersicht über reCAPTCHA.

Hinweise

Je nach Art des Authentifizierungsablaufs, den Sie mit reCAPTCHA schützen möchten, müssen Sie Folgendes einrichten:

Dienstkonto erstellen

Für die Einbindung der Identity Platform in die reCAPTCHA Enterprise API ist für jedes Projekt, in dem reCAPTCHA verwendet wird, ein Identity Platform-Dienstkonto erforderlich. So kann die Identity Platform reCAPTCHA-Schlüssel in Ihrem Namen verwalten. Wenn Sie bereits ein Dienstkonto erstellt haben, gewähren Sie ihm Zugriff auf reCAPTCHA.

Wenn Sie noch kein Dienstkonto erstellt haben oder zusätzliche Projekte mit reCAPTCHA schützen möchten, gehen Sie so vor:

  1. So erstellen Sie ein Dienstkonto mit der Google Cloud CLI:

    gcloud beta services identity create \
    --service=identitytoolkit.googleapis.com \
    --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID des Projekts.

  2. Gewähren Sie dem Dienstkonto Zugriff auf reCAPTCHA:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-identitytoolkit.iam.gserviceaccount.com \
    --role=roles/identitytoolkit.serviceAgent

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Projekt-ID
    • PROJECT_NUMBER: die Projektkontonummer

Modi für den reCAPTCHA-Bot-Schutz

Der reCAPTCHA-Botschutz bietet zwei Modi, mit denen Sie Nutzer schützen können: Prüfen und Erzwingen. Das Verhalten dieser Modi hängt vom Identitätsanbieter ab.

E-Mail-Passwortanbieter

Die Modi „Prüfen“ und „Erzwingen“ verhalten sich bei Authentifizierungsabläufen mit E-Mail-Adresse und Passwort so:

Prüfmodus

Wenn Sie die E-Mail-/Passwort-Erzwigung auf den Audit-Modus setzen, erstellt Identity Platform einen oder mehrere reCAPTCHA-Schlüssel in Ihrem Projekt, mit denen der Traffic zu Identity Platform APIs bewertet wird, ohne Anfragen zu blockieren. Anhand der Messwerte, die im Prüfmodus erfasst werden, können Sie feststellen, ob Sie die erzwungene reCAPTCHA-Bedienung aktivieren sollten.

Modus erzwingen

Wenn Sie die Erzwingung von E-Mail-Passworten auf „Erzwingen“ setzen, erstellt Identity Platform einen oder mehrere reCAPTCHA-Schlüssel in Ihrem Projekt, die zum Bewerten des Traffics zu Identity Platform APIs verwendet werden. API-Anfragen ohne reCAPTCHA-Token werden abgelehnt. Aktivieren Sie die Erzwingung erst, nachdem Sie alle Ihre Clients zu einem SDK mit reCAPTCHA-Unterstützung migriert haben.

Mobilfunkanbieter

Die Modi „Prüfen“ und „Erzwingen“ verhalten sich bei der Authentifizierung per Telefon so:

Prüfmodus

Wenn Sie die Erzwingung der Smartphone-Authentifizierung auf den Audit-Modus setzen, verwendet Identity Platform den reCAPTCHA-Botschutz für die App-Bestätigung. Wenn die Nutzeranfrage die Bot-Schutzprüfung besteht, sendet Identity Platform eine SMS mit einem Bestätigungscode an das Smartphone des Nutzers. Wenn eine Anfrage die Bot-Schutzprüfung nicht besteht und Sie das Client SDK verwenden, werden Fallback-Bestätigungsmethoden ausgelöst, um den Authentifizierungsablauf für Smartphones abzuschließen. Welche Fallback-Methoden akzeptiert werden, hängt von der Plattform Ihrer App ab.

Das Client-SDK löst die Fallback-Bestätigungsmethoden in den folgenden Fällen aus:

  • Das reCAPTCHA-Token fehlt.
  • Das reCAPTCHA-Token ist ungültig oder abgelaufen.
  • Das reCAPTCHA-Token erreicht nicht den Mindestwert.
  • reCAPTCHA ist nicht richtig konfiguriert.

Die Fallback-Bestätigungsmethoden für die Plattform Ihrer App müssen eingerichtet und bereit sein, bei Bedarf vom Client-SDK ausgelöst zu werden.

Web

Wenn die erste Prüfung des Botschutzes fehlschlägt, wird im Modus „Prüfen“ reCAPTCHA v2 zur Überprüfung verwendet. Daher müssen Sie den reCAPTCHA-Verifier (RecaptchaVerifier) einrichten und an die folgenden Telefonauthentifizierungsvorgänge weitergeben:

  • verifyPhoneNumber
  • signInWithPhoneNumber
  • linkWithPhoneNumber
  • reauthenticateWithPhoneNumber
Ohne reCAPTCHA-Verifier kann die Identity Platform reCAPTCHA v2 nicht initiieren und gibt auth/argument-error zurück. Weitere Informationen zum Einrichten der reCAPTCHA-Verifizierung finden Sie in der Firebase-Dokumentation unter reCAPTCHA-Verifizierung einrichten.

Android

Wenn die erste Bewertung des Botschutzes fehlschlägt, wird Ihre App im Prüfmodus anhand der Play Integrity API überprüft. Wenn diese Überprüfung fehlschlägt, wird reCAPTCHA v2 ausgelöst. reCAPTCHA v2 kann in den folgenden Fällen ausgelöst werden:

  • Wenn auf dem Gerät des Endnutzers keine Google Play-Dienste installiert sind.
  • Wenn die App nicht über den Google Play Store vertrieben wird (bei Authentication SDK v21.2.0 und höher)
  • Wenn das abgerufene SafetyNet-Token ungültig war (bei Authentication SDK-Versionen vor v21.2.0)
Weitere Informationen zum Einrichten der Android-App-Überprüfung finden Sie in der Firebase-Dokumentation unter App-Überprüfung aktivieren.

iOS

Wenn die anfängliche Bewertung des Botschutzes fehlschlägt, erfolgt die Bestätigung im Audit-Modus mithilfe von lautlosen Push-Benachrichtigungen. Bei dieser Bestätigungsmethode wird ein Token mit einer stillen Push-Benachrichtigung an Ihre App auf dem anfragenden Gerät gesendet. Wenn die App die Benachrichtigung empfängt, wird die Authentifizierung auf dem Smartphone fortgesetzt. Wenn Ihre App die Push-Benachrichtigung nicht erhält, wird reCAPTCHA v2 ausgelöst. reCAPTCHA v2 wird möglicherweise ausgelöst, wenn stumme Push-Benachrichtigungen nicht richtig konfiguriert sind.

Weitere Informationen zum Einrichten der App-Überprüfung für iOS finden Sie in der Firebase-Dokumentation unter App-Überprüfung aktivieren.

Modus erzwingen

Wenn Sie die Erzwingung der Smartphone-Authentifizierung auf „Erzwingen“ festlegen, verwendet die Identity Platform den reCAPTCHA-Botschutz für die App-Bestätigung. Wenn die Nutzeranfrage die Bewertung des Botschutzes besteht, sendet Identity Platform eine SMS mit einem Bestätigungscode an das Smartphone des Nutzers. Wenn die Anfrage die Prüfung des Botschutzes nicht besteht, blockiert Identity Platform die Anfrage und sendet keine SMS mit einem Bestätigungscode.

Im erzwungenen Modus ist keine Fallback-Bestätigung erforderlich. Sie müssen also keine zusätzlichen Bestätigungsmethoden für Ihre App einrichten. Wir empfehlen jedoch, die reCAPTCHA-Verifizierung für Webanwendungen einzurichten, damit reCAPTCHA v2 aktiviert ist, falls Sie den reCAPTCHA-Modus Ihrer App in AUDIT oder OFF ändern.

Identity Platform-Integration mit der reCAPTCHA Enterprise API einrichten

Führen Sie die folgenden Schritte aus, um die Identity Platform-Integration mit der reCAPTCHA Enterprise API einzurichten:

  • Verwenden Sie das Admin SDK, um den reCAPTCHA-Durchsetzungsstatus festzulegen und den Botschutz zu aktivieren.
  • Konfigurieren Sie das Client SDK für die Plattform Ihrer App.

Wir empfehlen, zuerst die reCAPTCHA-Erzwingung im Prüfmodus zu aktivieren und die von Ihrem Projekt gesendeten reCAPTCHA-Messwerte zu beobachten, um sicherzustellen, dass die Authentifizierungsabläufe ordnungsgemäß geschützt sind. So wird der Nutzertraffic nicht unterbrochen, während Sie die Verwendung von reCAPTCHA prüfen. Nachdem Sie überprüft haben, dass Ihre Authentifizierungsabläufe geschützt sind, legen Sie den Botschutz auf ENFORCE fest.

reCAPTCHA-Bot-Schutz aktivieren

E-Mail-Passwortanbieter

So aktivieren Sie den reCAPTCHA-Bot-Schutz für E-Mail-/Passwort-Authentifizierungsabläufe:

  1. Aktivieren Sie die reCAPTCHA Enterprise API in Ihrem Projekt, falls Sie dies noch nicht getan haben.

  2. Wenn Sie den Botschutz für ein Projekt aktivieren möchten, verwenden Sie das Admin SDK. reCAPTCHA-Unterstützung ist ab Node.js Admin SDK-Version 11.7.0 verfügbar.

    Beispiel:

    // Update project config with reCAPTCHA config
const updateConfigRequest = {
  recaptchaConfig: {
    emailPasswordEnforcementState:  'ENFORCE_MODE',
    managedRules: [{
      endScore: END_SCORE,
      action: 'BLOCK'
    }]
  }
};
const updateProjectConfigWithRecaptcha = () => {
  getAuth().projectConfigManager().updateProjectConfig(updateConfigRequest).then((response) => {
    console.log('Updated reCAPTCHA config for project: ', response.recaptchaConfig);
  }).catch((error) => {
    console.log('Error updating project config:', error);
  });
}

    Ersetzen Sie Folgendes:

    • ENFORCE_MODE: Der Modus, den Sie für die erzwungene reCAPTCHA-E-Mail-Passwort-Authentifizierung festlegen möchten. Gültige Werte sind OFF, AUDIT und ENFORCE. Wenn Sie den Bot-Schutz aktivieren möchten, muss dieser Parameter auf AUDIT oder ENFORCE festgelegt sein. Wenn Sie den Botschutz zum ersten Mal aktivieren, empfehlen wir, diesen Parameter auf AUDIT festzulegen und dafür zu sorgen, dass Ihre Authentifizierungsabläufe geschützt sind, bevor Sie ihn auf ENFORCE festlegen. Weitere Informationen zur Funktionsweise der Modi finden Sie unter reCAPTCHA-Bot-Schutzmodi.
    • END_SCORE: Der niedrigste Wert, den eine Anfrage bei der Bewertung des Bots erreichen kann, bevor sie fehlschlägt. Sie können diesen Wert zwischen 0.0 und 1.0 festlegen. Wenn Sie beispielsweise einen Schwellenwert von 0.6 festlegen, lehnt reCAPTCHA alle Anfragen mit einer Punktzahl von 0.5 oder niedriger ab. Je höher Sie den Wert festlegen, desto strenger sind die Regeln.

    Mit derselben Konfigurationsmethode können Sie den Botschutz auch für einen tenant mit dem Admin SDK aktivieren. Weitere Informationen zum Aktualisieren einer Organisation finden Sie unter Organisation aktualisieren.

  3. Wenn Sie Identity Platform auf iOS- oder Android-Geräten verwenden, müssen Sie Ihre App über die Firebase Console registrieren:

    Wenn Sie die Identity Platform im Web verwenden, müssen Sie für jede Domain, für die reCAPTCHA verwendet wird, eine autorisierte Domain hinzufügen. So fügen Sie autorisierte Domains hinzu:

    1. Rufen Sie in der Google Cloud Console die Seite „Identity Platform“ auf.

      Identity Platform aufrufen

    2. Gehen Sie zu Einstellungen > Sicherheit.

    3. Klicken Sie auf Domain hinzufügen.

    4. Geben Sie den Domainnamen ein und klicken Sie auf Hinzufügen, um die Domain zu speichern.

    Die Bereitstellung des reCAPTCHA-Schlüssels kann einige Minuten dauern.

  4. Wenn Sie die Erzwingung auf den Modus „Prüfen“ gesetzt haben, empfehlen wir Ihnen, die reCAPTCHA-Messwerte für den Botschutz im Blick zu behalten, um sicherzustellen, dass Ihre Zugriffe geschützt sind.

Mobilfunkanbieter

So aktivieren Sie den reCAPTCHA-Bot-Schutz für SMS-basierte Authentifizierungsabläufe:

  1. Aktivieren Sie die reCAPTCHA Enterprise API in Ihrem Projekt, falls Sie dies noch nicht getan haben.

  2. Wenn Sie den Botschutz für ein Projekt aktivieren möchten, verwenden Sie das Admin SDK. reCAPTCHA-Unterstützung ist ab der Node.js Admin SDK-Version 12.7.0 verfügbar.

    Beispiel:

    // Update project config with reCAPTCHA config
const updateProjectConfigRequest = {
  recaptchaConfig: {
    phoneEnforcementState: 'ENFORCE_MODE',
    managedRules: [{ endScore: END_SCORE, action: 'BLOCK' }],
    useSmsBotScore: 'true',
  }
}
let projectConfig = await getAuth().projectConfigManager().updateProject(updateProjectConfigRequest);

    Ersetzen Sie Folgendes:

    • ENFORCE_MODE: Der Modus, den Sie für die Erzwingung der reCAPTCHA-Authentifizierung per Telefon festlegen möchten. Gültige Werte sind OFF, AUDIT und ENFORCE. Wenn Sie den Botschutz für SMS-basierte Abläufe aktivieren möchten, muss dieser Parameter auf AUDIT oder ENFORCE und useSmsBotScore auf true festgelegt sein.

      Wenn Sie den Botschutz zum ersten Mal aktivieren, empfehlen wir, diesen Parameter auf AUDIT festzulegen und dafür zu sorgen, dass Ihre Authentifizierungsabläufe geschützt sind, bevor Sie ihn auf ENFORCE festlegen. Weitere Informationen zur Funktionsweise der Modi finden Sie unter reCAPTCHA-Bot-Schutzmodi.

    • END_SCORE: Der niedrigste Wert, den eine Anfrage bei der Bewertung des Bots erreichen kann, bevor sie fehlschlägt. Sie können diesen Wert zwischen 0.0 und 1.0 festlegen. Wenn Sie beispielsweise einen Schwellenwert von 0.6 festlegen, lehnt reCAPTCHA alle Anfragen mit einer Punktzahl von 0.5 oder niedriger ab. Je höher Sie den Wert festlegen, desto strenger sind die Regeln.

    Mit derselben Konfigurationsmethode können Sie den Botschutz auch für einen tenant mit dem Admin SDK aktivieren. Weitere Informationen zum Aktualisieren einer Mandanten finden Sie unter Mandanten aktualisieren.

  3. Wenn Sie Identity Platform auf iOS- oder Android-Geräten verwenden, müssen Sie Ihre App über die Firebase Console registrieren:

    Wenn Sie die Identity Platform im Web verwenden, müssen Sie für jede Domain, für die reCAPTCHA verwendet wird, eine autorisierte Domain hinzufügen. So fügen Sie autorisierte Domains hinzu:

    1. Rufen Sie in der Google Cloud Console die Seite „Identity Platform“ auf.

      Identity Platform aufrufen

    2. Gehen Sie zu Einstellungen > Sicherheit.

    3. Klicken Sie auf Domain hinzufügen.

    4. Geben Sie den Domainnamen ein und klicken Sie auf Hinzufügen, um die Domain zu speichern.

    Die Bereitstellung des reCAPTCHA-Schlüssels kann einige Minuten dauern.

  4. Wenn Sie die Erzwingung auf den Modus „Prüfen“ gesetzt haben, empfehlen wir Ihnen, die reCAPTCHA-Messwerte für den Botschutz im Blick zu behalten, um sicherzustellen, dass Ihre Zugriffe geschützt sind.

Client SDK konfigurieren

Konfigurieren Sie das Client SDK entsprechend der Plattform Ihrer App.

Web

  1. Aktualisieren Sie auf die aktuelle Version des Web SDK.

    • Die reCAPTCHA-Unterstützung für die E-Mail- und Passwort-Authentifizierung in Webanwendungen ist in den JavaScript SDK-Versionen 9.20.0 und höher verfügbar.
    • Die reCAPTCHA-Unterstützung für die Authentifizierung per Telefon in Webanwendungen ist ab JavaScript SDK-Version 11 verfügbar.

    Nachdem Sie das Web SDK in Ihre App eingebunden haben, ruft das SDK automatisch Ihre reCAPTCHA-Konfiguration ab und aktiviert den Schutz für die von Ihnen konfigurierten Anbieter.

  2. Bei Bedarf können Sie das reCAPTCHA-Signal so erzwingen:

    import { initializeRecaptchaConfig } from '@firebase/auth';

// Initialize Firebase Authentication
const auth = getAuth();
initializeRecaptchaConfig(auth)
  .then(() => {
    console.log("Recaptcha Enterprise Config Initialization successful.")
  })
  .catch((error) => {
    console.error("Recaptcha Enterprise Config Initialization failed with " + error)
  });

Android

  1. Aktualisieren Sie auf die neueste Version des Android SDK. reCAPTCHA-Unterstützung für die E-Mail- und Passwort-Authentifizierung und die Telefonauthentifizierung in Android-Apps ist ab Android SDK-Version 23.1.0 verfügbar.

    Außerdem ist für die reCAPTCHA-Unterstützung API-Level 23 (Marshmallow) oder höher und Android 6 oder höher erforderlich.

    Nachdem Sie das Android SDK in Ihre App eingebunden haben, ruft das SDK automatisch Ihre reCAPTCHA-Konfiguration ab und aktiviert den Schutz für die von Ihnen konfigurierten Anbieter.

  2. Fügen Sie der Datei build.gradle auf App-Ebene im Abschnitt „Abhängigkeiten“ die folgende Build-Regel hinzu:

    implementation 'com.google.android.recaptcha:recaptcha:18.5.1'

    Sie benötigen die reCAPTCHA SDK-Version 18.5.1 oder höher.

  3. Bei Bedarf können Sie das reCAPTCHA-Signal so erzwingen:

    • Kotlin:
    // Initialize Firebase Authentication
auth = Firebase.auth

auth.initializeRecaptchaConfig().addOnCompleteListener(this) { task ->
    if (task.isSuccessful) {
        Log.d(TAG, "Recaptcha Enterprise Initialization successful.")
    } else {
        Log.w(TAG, "Recaptcha Enterprise Initialization failed.")
    }
}
    • Java:
    // Initialize Firebase Authentication
auth = FirebaseAuth.getInstance();
auth.initializeRecaptchaConfig().addOnCompleteListener(
  this, new OnCompleteListener<void>() {
  @Override
  public void onComplete(@NonNull Task<void> task) {
    if (task.isSuccessful()) {
      Log.d(TAG, "Recaptcha Enterprise Initialization successful.");
    } else {
      Log.w(TAG, "Recaptcha Enterprise Initialization failed.");
    }
  }
});

iOS

  1. Aktualisieren Sie auf die iOS SDK-Version 11.6.0 oder höher. Nachdem Sie das iOS SDK in Ihre App eingebunden haben, ruft das SDK automatisch Ihre reCAPTCHA-Konfiguration ab und aktiviert den Schutz für die von Ihnen konfigurierten Anbieter.

  2. Informationen zum Einbinden des reCAPTCHA iOS SDK in Ihre App finden Sie unter Umgebung vorbereiten.

  3. Achten Sie darauf, dass -ObjC in Ihren Linker-Flags aufgeführt ist. Gehen Sie zu Ziel > Build-Einstellungen > Alle > Verknüpfen und prüfen Sie, ob Other Linker Flags -ObjC anzeigt.

  4. Bei Bedarf können Sie das reCAPTCHA-Signal so erzwingen:

    • Swift:
    // Initialize Firebase Authentication
try await Auth.auth().initializeRecaptchaConfig()
    • Objective-C:
    // Initialize Firebase Authentication
[[FIRAuth auth] initializeRecaptchaConfigWithCompletion:^(NSError * _Nullable error) {
  // Firebase Authentication initialization finished
}];

reCAPTCHA-Messwerte für den Bot-Schutz im Blick behalten

Bevor Sie die reCAPTCHA-Erzwigung auf „Erzwingen“ setzen, empfehlen wir Ihnen, den Prüfmodus zu verwenden und die reCAPTCHA-Messwerte Ihres Projekts zu beobachten, um sicherzustellen, dass die Authentifizierungsabläufe geschützt sind. Anhand dieser Messwerte können Sie beispielsweise feststellen, ob Sie die Identity Platform-Integration mit der reCAPTCHA Enterprise API richtig eingerichtet haben. Außerdem können Sie damit den Bewertungsgrenzwert für Ihren Nutzertraffic optimieren. Wenn die Bereitstellung des reCAPTCHA-Schlüssels fehlschlägt oder die erforderlichen Dienstkonten nicht erstellt wurden, sind reCAPTCHA-Authentifizierungsversuche trotzdem normal erfolgreich.

Prüfen Sie, ob die reCAPTCHA-Authentifizierung funktioniert, indem Sie die folgenden Messwerte prüfen, die Ihr Projekt an Cloud Monitoring sendet:

Weitere Informationen finden Sie unter reCAPTCHA-Messwerte im Blick behalten.

reCAPTCHA-Botschutz erzwingen

Nachdem Sie überprüft haben, dass Ihre App akzeptablen Nutzertraffic erhält, können Sie die reCAPTCHA-Erzwigung aktivieren, um Ihre Nutzer zu schützen. Achten Sie darauf, dass bestehende Nutzer nicht beeinträchtigt werden, auch nicht Nutzer, die möglicherweise eine ältere Version Ihrer App verwenden.

E-Mail-Passwortanbieter

Wenn Sie die reCAPTCHA-Erzwigung für E-Mail- und Passwort-Authentifizierungsabläufe in einem Projekt oder für einen Tenant aktivieren möchten, führen Sie mit dem Admin SDK Folgendes aus:

const enforceRequest = {
  recaptchaConfig: {
    emailPasswordEnforcementState:  'ENFORCE',
    }]
  }
};

Mobilfunkanbieter

Wenn Sie die reCAPTCHA-Erzwigung für SMS-basierte Authentifizierungsabläufe in einem Projekt oder einer Organisation aktivieren möchten, führen Sie mit dem Admin SDK Folgendes aus:

const enforceRequest = {
  recaptchaConfig: {
    phoneEnforcementState:  'ENFORCE',
    useSmsBotScore: 'true'
    }]
  }
};

reCAPTCHA-Bot-Schutz deaktivieren

E-Mail-Passwortanbieter

Wenn Sie den Botschutz für Authentifizierungsabläufe per E-Mail- und Passwort deaktivieren möchten, führen Sie mit dem Admin SDK den folgenden Befehl aus:

const disableRequest = {
  recaptchaConfig: {
    emailPasswordEnforcementState:  'OFF',
  }
};

Mobilfunkanbieter

Wenn Sie den Botschutz für SMS-basierte Authentifizierungsabläufe deaktivieren möchten, führen Sie mit dem Admin SDK den folgenden Befehl aus:

const disableRequest = {
  recaptchaConfig: {
    phoneEnforcementState:  'OFF',
    useSmsBotScore: 'false'
  }
};

reCAPTCHA-Urteile mit Cloud Run-Funktionen überschreiben

Zusätzlich zu den Grenzwerten für die Bewertung können Sie ein reCAPTCHA-Urteil für ein bestimmtes Token mit einer benutzerdefinierten Blockierungsfunktion für Cloud Run-Funktionen überschreiben. Das ist hilfreich, wenn die reCAPTCHA-Punktzahl für die Anmeldung eines Nutzers niedrig ist, der Nutzer aber vertrauenswürdig ist oder auf andere Weise bestätigt wurde und daher die Anmeldung abschließen darf.

Weitere Informationen zum Konfigurieren von Blockierfunktionen mit reCAPTCHA finden Sie unter Firebase-Authentifizierung mit Cloud Functions zum Blockieren erweitern.

Nächste Schritte