1. 无Google Play开发者账号时如何启用Firebase App Check？ #

不用Google Play开发者账号完全能搞定App Check，关键是别盯着Play Integrity或即将下线的Safety Net，换用其他验证提供者就行，这里给两个实用方案：

• ReCAPTCHA v3（生产环境首选）：这是通用型的方案，不管你通过什么渠道分发应用都能用。操作步骤很清晰：

  1. 登录Firebase控制台，进入App Check页面，给你的应用添加ReCAPTCHA v3作为验证提供者，获取对应的站点密钥和密钥。
  2. 在你的App里集成Firebase App Check SDK，同时配置好ReCAPTCHA v3的密钥。
  3. 开启App Check对Firebase服务的保护（比如Firestore、Cloud Functions、Storage等），这样只有通过ReCAPTCHA验证的请求才会被处理。
     整个流程完全不涉及Google Play开发者账号，纯靠前端的无感验证来确认请求来自你的合法应用。

• 调试令牌（仅开发测试用）：如果只是本地开发调试，你可以生成一个调试令牌来跳过验证。启动App后，Logcat（Android）或控制台日志（iOS/Web）会输出调试令牌，把它添加到Firebase控制台的App Check设置里，就能让开发环境的请求顺利通过验证。注意：这个绝对不能用于生产环境，只是临时的开发工具！

2. 非Google Play分发应用的App Check替代方案（替代Safety Net） #

既然Play Integrity只支持Google Play分发的应用，非Play渠道的应用可以从这几个官方/实用方案里选：

• ReCAPTCHA v3/v2（官方推荐）：这是目前Firebase官方针对非Play渠道的首选方案。ReCAPTCHA v3是无感验证，用户几乎察觉不到验证过程；如果需要更严格的人机验证，也可以用ReCAPTCHA v2的复选框模式。它能有效拦截自动化恶意请求，而且完全独立于Google Play生态，不管你是官网下载、第三方应用商店分发还是其他渠道，都能正常工作。

• 自定义验证提供者（Custom Provider）：如果你有自己的后端系统，可以自定义App Check的验证逻辑。比如在App里生成自定义令牌，你的后端先验证令牌合法性，再通过Firebase Admin SDK把验证结果同步给App Check。这个方案适合有复杂验证需求的场景，比如结合自己的用户体系、设备指纹或者其他自定义验证规则。

• 设备绑定的自定义验证流程：你可以在App首次启动时生成一个唯一的设备标识符（比如结合硬件信息生成的哈希值），把这个标识符发送到你的后端留存。之后每次请求Firebase服务前，先从后端获取一个临时有效令牌，再用这个令牌通过App Check的验证。不过要注意，这种方式的安全性完全依赖你后端的验证逻辑，要做好标识符的防伪造和防篡改工作。

最后提醒一句：不管选哪个方案，都要确保App Check的验证规则和你Firebase服务的保护配置匹配，避免误拦截合法用户的请求。

内容的提问来源于stack exchange，提问作者Samudra Ganguly