Identity Platform을 reCAPTCHA Enterprise API와 통합

이 문서에서는 Identity Platform을 reCAPTCHA Enterprise API와 통합하여 사용자의 보안을 강화하는 방법을 보여줍니다. 이 기능을 사용하면 스팸, 악용, 기타 허위 행위에 대한 앱의 복원력이 우수해집니다.

통합을 통해 사용자 요청을 검증하기 위해 사용자를 대신하여 reCAPTCHA Enterprise 평가가 생성됩니다. 가격 책정 관련 정보는 reCAPTCHA 가격 책정을 참고하세요.

개요

Identity Platform을 reCAPTCHA Enterprise API와 통합할 때 reCAPTCHA의 기본 보호 기능인 reCAPTCHA 봇 보호를 사용 설정합니다. 봇 보호를 사용하면 Identity Platform이 프로젝트에서 점수 기반 reCAPTCHA 키를 자동으로 프로비저닝합니다. 사용자가 다음 작업 중 하나를 사용하여 앱이나 사이트에 액세스하면 해당 제공업체가 사용 설정된 경우 클라이언트 SDK가 reCAPTCHA를 로드합니다.

제공업체 작업 메서드
passwordProvider 이메일 및 비밀번호 로그인 signInWithPassword
이메일 및 비밀번호 가입 signUpPassword
이메일 링크 로그인 getOobCode
비밀번호 재설정 getOobCode
phoneProvider 전화번호 가입 또는 로그인 sendVerificationCode
MFA 전화번호 등록 mfaSmsEnrollment
MFA 전화번호 로그인 mfaSmsSignIn

그러면 reCAPTCHA는 Identity Platform에 구성 및 위험 허용 범위를 기준으로 요청의 위험을 평가하는 점수를 제공합니다.

자세한 내용은 reCAPTCHA 개요를 참고하세요.

시작하기 전에

reCAPTCHA로 보호하려는 인증 흐름 유형에 따라 다음을 설정했는지 확인합니다.

서비스 계정 만들기

reCAPTCHA Enterprise API와 Identity Platform을 통합하려면 reCAPTCHA를 사용할 각 프로젝트의 Identity Platform 서비스 계정이 필요합니다. 이렇게 하면 Identity Platform이 reCAPTCHA 키를 자동으로 관리할 수 있습니다. 이미 서비스 계정을 만들었다면 reCAPTCHA에 대한 액세스 권한을 부여합니다.

아직 서비스 계정을 만들지 않았거나 reCAPTCHA로 보호하려는 프로젝트가 추가로 있는 경우 다음 단계를 따르세요.

  1. Google Cloud CLI를 사용하여 서비스 계정을 만듭니다.

    gcloud beta services identity create \
        --service=identitytoolkit.googleapis.com \
        --project=PROJECT_ID
    

    PROJECT_ID를 해당 프로젝트의 ID로 바꿉니다.

  2. 서비스 계정에 reCAPTCHA에 대한 액세스 권한을 부여합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-identitytoolkit.iam.gserviceaccount.com \
        --role=roles/identitytoolkit.serviceAgent
    

    다음을 바꿉니다.

    • PROJECT_ID: 프로젝트 ID
    • PROJECT_NUMBER: 프로젝트 계정 번호

reCAPTCHA 봇 보호 모드

reCAPTCHA 봇 보호에는 사용자를 보호하는 데 도움이 되는 두 가지 모드인 감사시행이 있습니다. 이러한 모드는 ID 공급자에 따라 동작이 다릅니다.

이메일-비밀번호 제공업체

감사 및 시행 모드는 이메일-비밀번호 인증 흐름에서 다음과 같이 작동합니다.

감사 모드

이메일-비밀번호 시행을 감사 모드로 설정하면 Identity Platform은 요청을 차단하지 않고 Identity Platform API에 대한 트래픽을 평가하는 데 사용되는 reCAPTCHA 키를 프로젝트에 하나 이상 만듭니다. 감사 모드 중에 내보낸 측정항목을 사용하여 reCAPTCHA 시행을 사용 설정해야 하는지 확인합니다.

시행 모드

이메일-비밀번호 시행을 시행 모드로 설정하면 Identity Platform은 Identity Platform API에 대한 트래픽을 평가하는 데 사용되는 reCAPTCHA 키를 프로젝트에 하나 이상 만듭니다. reCAPTCHA 토큰이 포함되지 않은 API 요청은 거부됩니다. reCAPTCHA를 지원하는 모든 클라이언트를 SDK로 마이그레이션한 후에만 시행을 사용 설정하세요.

전화 제공업체

감사 및 시행 모드는 전화 인증 흐름에서 다음과 같이 작동합니다.

감사 모드

전화 인증 시행을 감사 모드로 설정하면 Identity Platform은 앱 인증에 reCAPTCHA 봇 보호를 사용합니다. 사용자 요청이 봇 보호 평가를 통과하면 Identity Platform에서 사용자의 휴대전화로 인증 코드가 포함된 SMS 메시지를 전송합니다. 요청이 봇 보호 평가에 실패하고 클라이언트 SDK를 사용하는 경우 대체 인증 메서드가 트리거되어 전화 인증 흐름을 완료합니다. 허용되는 대체 메서드는 앱의 플랫폼에 따라 다릅니다.

클라이언트 SDK는 다음 시나리오에서 대체 인증 메서드를 트리거합니다.

  • reCAPTCHA 토큰이 누락되었습니다.
  • reCAPTCHA 토큰이 잘못되었거나 만료되었습니다.
  • reCAPTCHA 토큰이 점수 기준점을 통과하지 못합니다.
  • reCAPTCHA가 올바르게 구성되어 있지 않습니다.

앱의 플랫폼에 대한 대체 인증 방법이 설정되어 있고 필요한 경우 클라이언트 SDK에서 트리거할 준비가 되었는지 확인합니다.

초기 봇 방지 평가에 실패하면 감사 모드에서 reCAPTCHA v2를 사용하여 인증합니다. 따라서 reCAPTCHA 인증기 (RecaptchaVerifier)를 설정하고 다음 전화 인증 작업에 전달해야 합니다.

  • verifyPhoneNumber
  • signInWithPhoneNumber
  • linkWithPhoneNumber
  • reauthenticateWithPhoneNumber
reCAPTCHA 인증기가 없으면 Identity Platform에서 reCAPTCHA v2를 시작할 수 없으며 auth/argument-error를 반환합니다. reCAPTCHA 인증기 설정에 관한 자세한 내용은 Firebase 문서의 reCAPTCHA 인증기 설정을 참고하세요.

Android

초기 봇 보호 평가에 실패하면 감사 모드에서 Play Integrity API를 기준으로 앱을 확인합니다. 이 인증에 실패하면 reCAPTCHA v2가 트리거됩니다. reCAPTCHA v2는 다음과 같은 시나리오에서 트리거될 수 있습니다.

  • 최종 사용자의 기기에 Google Play 서비스가 설치되어 있지 않은 경우
  • 앱이 Google Play 스토어를 통해 배포되지 않은 경우 (인증 SDK v21.2.0 이상)
  • 획득한 SafetyNet 토큰이 유효하지 않은 경우 (인증 SDK 버전 v21.2.0 미만)
Android 앱 인증 설정에 관한 자세한 내용은 Firebase 문서의 앱 인증 사용 설정을 참고하세요.

iOS

초기 봇 보호 평가에 실패하면 감사 모드는 자동 푸시 알림을 사용하여 확인합니다. 이 인증 방법에는 자동 푸시 알림을 사용하여 요청하는 기기의 앱에 토큰을 전송하는 작업이 포함됩니다. 앱이 알림을 수신하면 휴대전화 인증 흐름이 진행됩니다. 앱에서 푸시 알림을 수신하지 않으면 reCAPTCHA v2가 트리거됩니다. 자동 푸시 알림이 올바르게 구성되지 않으면 reCAPTCHA v2가 트리거될 수 있습니다.

iOS 앱 인증 설정에 관한 자세한 내용은 Firebase 문서의 앱 인증 사용 설정을 참고하세요.

시행 모드

전화 인증 시행을 시행 모드로 설정하면 Identity Platform은 앱 인증에 reCAPTCHA 봇 보호를 사용합니다. 사용자 요청이 봇 보호 평가를 통과하면 Identity Platform에서 사용자 휴대전화로 인증 코드가 포함된 SMS 메시지를 전송합니다. 요청이 봇 보호 평가를 통과하지 못하면 Identity Platform에서 요청을 차단하고 인증 코드가 포함된 SMS 메시지를 전송하지 않습니다.

시행 모드에서는 대체 인증이 필요하지 않으므로 앱에 추가 인증 방법을 설정할 필요가 없습니다. 그러나 앱의 reCAPTCHA 모드를 AUDIT 또는 OFF로 변경하려는 경우 reCAPTCHA v2가 사용 설정되도록 웹 앱에 reCAPTCHA 검사기를 설정하는 것이 좋습니다.

reCAPTCHA Enterprise API와 Identity Platform 통합 설정

reCAPTCHA Enterprise API와 Identity Platform 통합을 설정하려면 다음 작업을 실행합니다.

  • Admin SDK를 사용하여 reCAPTCHA 시행 상태를 설정하고 봇 보호를 사용 설정합니다.
  • 앱의 플랫폼에 맞게 클라이언트 SDK를 구성합니다.

먼저 감사 모드에서 reCAPTCHA 시행을 사용 설정하고 프로젝트에서 내보내는 reCAPTCHA 측정항목을 모니터링하여 인증 흐름이 적절하게 보호되는지 확인하는 것이 좋습니다. 이렇게 하면 reCAPTCHA 사용을 감사하는 동안 사용자 트래픽이 중단되지 않습니다. 인증 흐름이 보호되는지 확인한 후 봇 보호를 ENFORCE로 설정합니다.

reCAPTCHA 봇 보호 사용 설정

이메일-비밀번호 제공업체

이메일-비밀번호 인증 흐름에 reCAPTCHA 봇 보호를 사용 설정하려면 다음 단계를 따르세요.

  1. 아직 설정하지 않았다면 프로젝트에서 reCAPTCHA Enterprise API를 사용 설정합니다.

  2. 프로젝트에 봇 보호를 사용 설정하려면 Admin SDK를 사용하세요. reCAPTCHA 지원은 Node.js Admin SDK 버전 11.7.0 이상에서 제공됩니다.

    예를 들면 다음과 같습니다.

    // Update project config with reCAPTCHA config
    const updateConfigRequest = {
      recaptchaConfig: {
        emailPasswordEnforcementState:  'ENFORCE_MODE',
        managedRules: [{
          endScore: END_SCORE,
          action: 'BLOCK'
        }]
      }
    };
    const updateProjectConfigWithRecaptcha = () => {
      getAuth().projectConfigManager().updateProjectConfig(updateConfigRequest).then((response) => {
        console.log('Updated reCAPTCHA config for project: ', response.recaptchaConfig);
      }).catch((error) => {
        console.log('Error updating project config:', error);
      });
    }
    

    다음을 바꿉니다.

    • ENFORCE_MODE: reCAPTCHA 이메일-비밀번호 인증 시행에 설정할 모드입니다. 유효한 값은 OFF, AUDIT, ENFORCE입니다. 봇 보호를 사용 설정하려면 이 매개변수를 AUDIT 또는 ENFORCE로 설정해야 합니다. 봇 보호를 처음 사용 설정할 때는 이 매개변수를 AUDIT로 설정하고 인증 흐름이 보호되는지 확인한 후 ENFORCE로 설정하는 것이 좋습니다. 모드 작동 방식에 관한 자세한 내용은 reCAPTCHA 봇 보호 모드를 참고하세요.
    • END_SCORE: 요청이 실패하기 전에 가질 수 있는 최저 봇 보호 평가 점수입니다. 이 점수는 0.01.0 사이로 설정할 수 있습니다. 예를 들어 기준을 0.6로 설정하면 reCAPTCHA는 0.5 이하의 요청을 실패로 처리합니다. 따라서 점수를 높게 설정할수록 규칙이 더 엄격해집니다.

    Admin SDK를 사용하여 tenant에 동일한 구성 메서드로 봇 보호를 사용 설정할 수도 있습니다. 테넌트 업데이트에 관한 자세한 내용은 테넌트 업데이트를 참고하세요.

  3. iOS 또는 Android에서 Identity Platform을 사용하는 경우 Firebase Console에서 앱을 등록해야 합니다.

    웹에서 Identity Platform을 사용하는 경우 reCAPTCHA를 사용하는 각 도메인에 승인된 도메인을 추가해야 합니다. 승인된 도메인을 추가하려면 다음 단계를 따르세요.

    1. Google Cloud 콘솔에서 Identity Platform 페이지로 이동합니다.

      Identity Platform으로 이동

    2. 설정 > 보안으로 이동합니다.

    3. 도메인 추가를 클릭합니다.

    4. 도메인 이름을 입력하고 추가를 클릭하여 도메인을 저장합니다.

    reCAPTCHA 키 프로비저닝을 완료하는 데 몇 분 정도 걸릴 수 있습니다.

  4. 시정 조치를 감사 모드로 설정한 경우 봇 보호를 위한 reCAPTCHA 측정항목을 모니터링하여 흐름이 보호되고 있는지 확인하는 것이 좋습니다.

전화 제공업체

SMS 기반 인증 흐름에 reCAPTCHA 봇 보호를 사용 설정하려면 다음 단계를 따르세요.

  1. 아직 설정하지 않았다면 프로젝트에서 reCAPTCHA Enterprise API를 사용 설정합니다.

  2. 프로젝트에 봇 보호를 사용 설정하려면 Admin SDK를 사용하세요. reCAPTCHA 지원은 Node.js Admin SDK 버전 12.7.0 이상에서 제공됩니다.

    예를 들면 다음과 같습니다.

    // Update project config with reCAPTCHA config
    const updateProjectConfigRequest = {
      recaptchaConfig: {
        phoneEnforcementState: 'ENFORCE_MODE',
        managedRules: [{ endScore: END_SCORE, action: 'BLOCK' }],
        useSmsBotScore: 'true',
      }
    }
    let projectConfig = await getAuth().projectConfigManager().updateProject(updateProjectConfigRequest);
    

    다음을 바꿉니다.

    • ENFORCE_MODE: reCAPTCHA 전화 인증 시행에 설정할 모드입니다. 유효한 값은 OFF, AUDIT, ENFORCE입니다. SMS 기반 흐름에 봇 보호를 사용 설정하려면 이 매개변수를 AUDIT 또는 ENFORCE로 설정하고 useSmsBotScoretrue로 설정해야 합니다.

      봇 보호를 처음 사용 설정할 때는 이 매개변수를 AUDIT로 설정하고 인증 흐름이 보호되는지 확인한 후 ENFORCE로 설정하는 것이 좋습니다. 모드 작동 방식에 관한 자세한 내용은 reCAPTCHA 봇 보호 모드를 참고하세요.

    • END_SCORE: 요청이 실패하기 전에 가질 수 있는 최저 봇 보호 평가 점수입니다. 이 점수는 0.01.0 사이로 설정할 수 있습니다. 예를 들어 기준을 0.6로 설정하면 reCAPTCHA는 0.5 이하의 요청을 실패로 처리합니다. 따라서 점수를 높게 설정할수록 규칙이 더 엄격해집니다.

    Admin SDK를 사용하여 tenant에 동일한 구성 메서드로 봇 보호를 사용 설정할 수도 있습니다. 테넌트 업데이트에 관한 자세한 내용은 테넌트 업데이트를 참고하세요.

  3. iOS 또는 Android에서 Identity Platform을 사용하는 경우 Firebase Console에서 앱을 등록해야 합니다.

    웹에서 Identity Platform을 사용하는 경우 reCAPTCHA를 사용하는 각 도메인에 승인된 도메인을 추가해야 합니다. 승인된 도메인을 추가하려면 다음을 수행합니다.

    1. Google Cloud 콘솔에서 Identity Platform 페이지로 이동합니다.

      Identity Platform으로 이동

    2. 설정 > 보안으로 이동합니다.

    3. 도메인 추가를 클릭합니다.

    4. 도메인 이름을 입력하고 추가를 클릭하여 도메인을 저장합니다.

    reCAPTCHA 키 프로비저닝을 완료하는 데 몇 분 정도 걸릴 수 있습니다.

  4. 시정 조치를 감사 모드로 설정한 경우 봇 보호를 위한 reCAPTCHA 측정항목을 모니터링하여 흐름이 보호되고 있는지 확인하는 것이 좋습니다.

클라이언트 SDK 구성

앱의 플랫폼에 따라 클라이언트 SDK를 구성합니다.

  1. 최신 버전의 웹 SDK로 업데이트합니다.

    • 웹 앱의 이메일 및 비밀번호 인증을 위한 reCAPTCHA 지원은 JavaScript SDK 버전 9.20.0 이상에서 제공됩니다.
    • 웹 앱의 전화 인증을 위한 reCAPTCHA 지원은 JavaScript SDK 버전 11 이상에서 사용할 수 있습니다.

    웹 SDK를 앱과 통합하면 SDK가 reCAPTCHA 구성을 자동으로 가져오고 구성한 제공업체에 대한 보호를 사용 설정합니다.

  2. 필요한 경우 다음과 같이 reCAPTCHA 신호를 강제로 가져올 수 있습니다.

    import { initializeRecaptchaConfig } from '@firebase/auth';
    
    // Initialize Firebase Authentication
    const auth = getAuth();
    initializeRecaptchaConfig(auth)
      .then(() => {
        console.log("Recaptcha Enterprise Config Initialization successful.")
      })
      .catch((error) => {
        console.error("Recaptcha Enterprise Config Initialization failed with " + error)
      });
    

Android

  1. Android SDK의 최신 버전으로 업데이트하세요. Android 앱에서 이메일 및 비밀번호 인증과 전화 인증을 위한 reCAPTCHA 지원은 Android SDK 버전 23.1.0 이상에서 사용할 수 있습니다.

    또한 reCAPTCHA 지원에는 API 수준 23(Marshmallow) 이상 및 Android 6 이상이 필요합니다.

    Android SDK를 앱과 통합하면 SDK가 reCAPTCHA 구성을 자동으로 가져오고 구성한 제공업체에 대한 보호를 사용 설정합니다.

  2. 앱 수준 build.gradle 파일의 종속 항목 섹션에 다음 빌드 규칙을 추가하세요.

    implementation 'com.google.android.recaptcha:recaptcha:18.5.1'
    

    reCAPTCHA SDK 버전 18.5.1 이상을 사용해야 합니다.

  3. 필요한 경우 다음과 같이 reCAPTCHA 신호를 강제로 가져올 수 있습니다.

    • Kotlin:
    // Initialize Firebase Authentication
    auth = Firebase.auth
    
    auth.initializeRecaptchaConfig().addOnCompleteListener(this) { task ->
        if (task.isSuccessful) {
            Log.d(TAG, "Recaptcha Enterprise Initialization successful.")
        } else {
            Log.w(TAG, "Recaptcha Enterprise Initialization failed.")
        }
    }
    
    • 자바
    // Initialize Firebase Authentication
    auth = FirebaseAuth.getInstance();
    auth.initializeRecaptchaConfig().addOnCompleteListener(
      this, new OnCompleteListener<void>() {
      @Override
      public void onComplete(@NonNull Task<void> task) {
        if (task.isSuccessful()) {
          Log.d(TAG, "Recaptcha Enterprise Initialization successful.");
        } else {
          Log.w(TAG, "Recaptcha Enterprise Initialization failed.");
        }
      }
    });
    

iOS

  1. iOS SDK 버전 11.6.0 이상으로 업데이트합니다. iOS SDK를 앱과 통합하면 SDK가 reCAPTCHA 구성을 자동으로 가져오고 구성한 제공업체에 대한 보호를 사용 설정합니다.

  2. 앱에 reCAPTCHA iOS SDK를 통합하려면 환경 준비를 참조하세요.

  3. 링커 플래그에 -ObjC가 있어야 합니다. 타겟 > 빌드 설정 > 전체 > 연결로 이동하여 Other Linker Flags-ObjC가 표시되는지 확인합니다.

  4. 필요한 경우 다음과 같이 reCAPTCHA 신호를 강제로 가져올 수 있습니다.

    • Swift:
    // Initialize Firebase Authentication
    try await Auth.auth().initializeRecaptchaConfig()
    
    • Objective-C:
    // Initialize Firebase Authentication
    [[FIRAuth auth] initializeRecaptchaConfigWithCompletion:^(NSError * _Nullable error) {
      // Firebase Authentication initialization finished
    }];
    

봇 보호를 위한 reCAPTCHA 측정항목 모니터링

reCAPTCHA 시행을 시행 모드로 설정하기 전에 감사 모드를 사용하고 프로젝트에서 내보내는 reCAPTCHA 측정항목을 모니터링하여 인증 흐름이 보호되는지 확인하는 것이 좋습니다. 예를 들어 이러한 측정항목을 통해 reCAPTCHA Enterprise API와 Identity Platform 통합을 올바르게 설정했는지 확인할 수 있습니다. 또한 사용자 트래픽의 점수 기준점을 미세 조정하는 데도 도움이 됩니다. reCAPTCHA 키 프로비저닝이 실패하거나 필요한 서비스 계정이 생성되지 않은 경우에도 reCAPTCHA 인증 시도는 정상적으로 이루어집니다.

프로젝트가 Cloud Monitoring에 내보내는 다음 측정항목을 검사하여 reCAPTCHA 인증이 작동하는지 확인하세요.

자세한 내용은 reCAPTCHA 측정항목 모니터링을 참고하세요.

reCAPTCHA 봇 보호 시행

앱이 허용되는 사용자 트래픽을 수신하는지 확인한 후 reCAPTCHA 시행을 사용 설정하여 사용자를 보호할 수 있습니다. 이전 버전의 앱을 사용하는 사용자를 포함하여 기존 사용자를 방해하지 않는지 확인하세요.

이메일-비밀번호 제공업체

프로젝트 또는 테넌트의 이메일-비밀번호 인증 흐름에 reCAPTCHA 시행을 사용 설정하려면 Admin SDK를 사용하여 다음을 실행합니다.

const enforceRequest = {
  recaptchaConfig: {
    emailPasswordEnforcementState:  'ENFORCE',
    }]
  }
};

전화 제공업체

프로젝트 또는 테넌트의 SMS 기반 인증 흐름에 reCAPTCHA 시행을 사용 설정하려면 Admin SDK를 사용하여 다음을 실행합니다.

const enforceRequest = {
  recaptchaConfig: {
    phoneEnforcementState:  'ENFORCE',
    useSmsBotScore: 'true'
    }]
  }
};

reCAPTCHA 봇 보호 사용 중지

이메일-비밀번호 제공업체

이메일-비밀번호 인증 흐름에 대한 봇 보호를 사용 중지하려면 Admin SDK를 사용하여 다음 명령어를 실행합니다.

const disableRequest = {
  recaptchaConfig: {
    emailPasswordEnforcementState:  'OFF',
  }
};

전화 제공업체

SMS 기반 인증 흐름에 대한 봇 보호를 사용 중지하려면 Admin SDK를 사용하여 다음 명령어를 실행합니다.

const disableRequest = {
  recaptchaConfig: {
    phoneEnforcementState:  'OFF',
    useSmsBotScore: 'false'
  }
};

Cloud Run Functions로 reCAPTCHA 확인 결과 재정의

점수 기준점을 구성하는 것 외에도 커스텀 Cloud Run Functions 차단 함수를 사용하여 지정된 토큰에 대한 reCAPTCHA 확인 결과를 재정의할 수 있습니다. 이는 특정 사용자 로그인의 reCAPTCHA 점수가 낮더라도 사용자를 신뢰할 수 있거나 다른 방법으로 인증하여 로그인을 완료할 수 있는 경우에 유용합니다.

reCAPTCHA로 차단 함수를 구성하는 방법에 대한 자세한 내용은 Cloud Functions 차단으로 Firebase 인증 확장을 참조하세요.

다음 단계