Эта страница переведена с помощью Cloud Translation API.

Узнайте об использовании и управлении ключами API для Firebase.

Ключ API — это уникальная строка, используемая для маршрутизации запросов к вашему проекту Firebase при взаимодействии с сервисами Firebase и Google. На этой странице представлена основная информация о ключах API, а также рекомендации по использованию и управлению ключами API в приложениях Firebase.

Вот самые важные вещи, которые нужно знать об API-ключах для Firebase:

API, связанные с Firebase, используют ключи API только для идентификации проекта или приложения Firebase, а не для авторизации вызова API (как это позволяют некоторые другие API). Авторизация для API, связанных с Firebase, обрабатывается отдельно от ключа API, либо через разрешения Google Cloud IAM, Firebase Security Rules , либо через Firebase App Check . Именно поэтому допустимо включать ключи API Firebase в свой код, если вы используете их только с API, связанными с Firebase .
Мы рекомендуем вам проверить и применить соответствующие ограничения и лимиты ко всем вашим API-ключам (включая API-ключи Firebase). В частности, ограничьте доступ к ключу только для тех API, которые вы фактически используете в своем приложении, и ограничьте квоту, если это применимо. Обратите внимание, что ко всем API-ключам, предоставленным Firebase, по умолчанию применяются «ограничения API» .
Используйте предоставленные Firebase ключи API только для API, связанных с Firebase . Для всех остальных API (например, Places API для карт или Google AI Gemini API) используйте отдельный ключ API .
Мы настоятельно рекомендуем защитить данные в вашей базе данных Realtime Database , Cloud Firestore и Cloud Storage с помощью Firebase Security Rules . Не полагайтесь только на ограничения, связанные с ключами API.

Общая информация о ключах API и Firebase.

API-ключи для Firebase отличаются от обычных API-ключей.

В отличие от обычного использования ключей API, ключи API для сервисов Firebase не используются для управления доступом к ресурсам бэкэнда ; это можно сделать только с помощью Firebase Security Rules (для контроля доступа конечных пользователей к ресурсам) и Firebase App Check (для контроля доступа приложений к ресурсам).

Обычно ключи API необходимо тщательно защищать (например, используя службу хранилища или устанавливая ключи в качестве переменных окружения); однако ключи API для сервисов Firebase допустимо включать в код или в конфигурационные файлы, добавленные в репозиторий.

Хотя ключи API для сервисов Firebase можно безопасно включать в код, следует проверить их и применить соответствующие ограничения и лимиты .

Создание ключей API

В проекте Firebase может быть много ключей API, но каждый ключ API может быть связан только с одним проектом Firebase.

API-ключи автоматически создаются Firebase для ваших приложений Firebase.

Firebase автоматически создает ключи API для вашего проекта при выполнении любого из следующих действий:

Создайте проект Firebase > Browser key создан автоматически
Создание приложения Firebase для Apple > Автоматическое создание iOS key
Создание Android-приложения Firebase > Автоматическое создание Android key

Вы также можете создавать собственные API-ключи в консоли Google Cloud , например, для разработки или отладки . Подробнее о том, когда это может быть рекомендовано, читайте далее на этой странице.

Как найти свои API-ключи

Просмотреть и управлять всеми ключами API вашего проекта можно на панели «API и сервисы > Учетные данные» в консоли Google Cloud .

Вы также можете узнать, какой ключ API автоматически сопоставляется с приложением Firebase, в следующих местах. По умолчанию все приложения Firebase вашего проекта для одной и той же платформы (Apple, Android или Web) будут использовать один и тот же ключ API.

Firebase Apple Apps — Найдите автоматически подобранный ключ API в файле конфигурации Firebase, GoogleService-Info.plist , в поле API_KEY .
Приложения Firebase для Android — найдите автоматически подобранный ключ API в файле конфигурации Firebase, google-services.json , в поле current_key .
Firebase Web Apps — Найдите автоматически подобранный ключ API в объекте конфигурации Firebase, в поле apiKey .

Использование ключа API

Ключи API для Firebase используются для идентификации вашего проекта Firebase при взаимодействии с сервисами Firebase или Google. В частности, они используются для привязки запросов API к вашему проекту для управления квотами и выставления счетов. Они также полезны для доступа к общедоступным данным.

Для подавляющего большинства разработчиков и сценариев использования взаимодействие с этими API-ключами напрямую не требуется. Вместо этого, когда ваше приложение обращается к API Firebase, для которого требуется API-ключ, предоставленный мобильным или веб-клиентом, ваше приложение автоматически ищет API-ключ в конфигурации Firebase . Эта конфигурация была добавлена в код вашего приложения при подключении приложения к Firebase.

Обратите внимание, что вы можете указать API-ключ своего приложения внутри самого приложения, используя другой механизм, например, параметры Firebase или переменные окружения.

Кроме того, для некоторых REST API сервисов Firebase может потребоваться явная передача значения ключа API в качестве параметра запроса. В этом примере показано, как можно выполнить запрос с использованием API Firebase Authentication :

https://identitytoolkit.googleapis.com/v1/accounts:signInWithCustomToken?key=API_KEY

Проверьте и примените соответствующие ограничения к ключам API (рекомендуется).

Хотя ключ API для сервисов Firebase не обязательно рассматривать как секрет, следует ознакомиться с ограничениями и лимитами, описанными в этом разделе, и применить их.

Проверьте API, автоматически добавленные в список разрешенных для ваших ключей API Firebase.

Когда Firebase создает ключ API в вашем проекте, мы автоматически добавляем к этому ключу «Ограничения API» . В этот список разрешенных API добавляются API, связанные с Firebase, которые требуют от клиента предоставления ключа API вместе с вызовом. Обратите внимание, что большинству API, необходимых для использования сервисов Firebase, на самом деле не нужно включать в список разрешенных для ваших ключей API.

Поскольку Firebase добавляет необходимые API для всех сервисов Firebase, список разрешенных API для ключа API может включать API для продуктов, которые вы не используете. Вы можете удалить API из списка разрешенных, но должны быть очень осторожны, чтобы не удалить API, необходимые для Firebase и используемых вами сервисов Firebase (см. список API, связанных с Firebase , которые должны быть в списке разрешенных для каждого сервиса/продукта). В противном случае вы будете получать ошибки при вызове сервисов Firebase.

Усильте квоты, если используете Authentication на основе паролей.

Если вы используете Firebase Authentication на основе паролей и кто-то получит доступ к вашему API-ключу, он не сможет получить доступ к базе данных вашего проекта Firebase или данным Cloud Storage , пока эти данные защищены Firebase Security Rules . Однако он сможет использовать ваш API-ключ для доступа к конечным точкам аутентификации Firebase и отправлять запросы на аутентификацию в ваш проект.

Чтобы снизить вероятность злоупотребления ключом API для попытки атаки методом перебора, вы можете ужесточить квоту по умолчанию для конечных точек identitytoolkit.googleapis.com , чтобы она соответствовала ожидаемому трафику вашего приложения. Имейте в виду, что если вы ужесточите эту квоту и ваше приложение внезапно увеличит число пользователей, вы можете столкнуться с ошибками входа в систему, пока не увеличите квоту. Вы можете изменить квоты API вашего проекта в консоли Google Cloud .

Для любых сервисов, не относящихся к Firebase, используйте отдельные, ограниченные по доступу ключи API.

Хотя ключи API, используемые для сервисов Firebase, обычно не нужно рассматривать как секретные, следует проявлять дополнительную осторожность при работе с ключами API, используемыми с другими API Google Cloud .

Если вы используете API Google Cloud (на любой платформе), не предназначенный для сервиса/продукта Firebase, мы настоятельно рекомендуем создать отдельные, ограниченные по доступу ключи API для использования с этими API. Это особенно важно, если API предназначен для платного сервиса Google Cloud .

Например, если вы используете Firebase ML и API Cloud Vision на iOS, вам следует создать отдельные ключи API , которые вы будете использовать только для доступа к API Cloud Vision.

Используя отдельные, ограниченные по доступу ключи API для API, не относящихся к Firebase, вы можете при необходимости менять или заменять ключи и добавлять дополнительные ограничения к ключам API, не нарушая при этом использование сервисов Firebase.

Ознакомьтесь с инструкциями по созданию ключей, специфичных для API.

В этих инструкциях описано, как создать отдельный, ограниченный по доступу ключ API для фиктивного API под названием Super Service API .

Шаг 1: Настройте существующие ключи API, чтобы запретить доступ к `Super Service API`

Откройте страницу «Учетные данные» в консоли Google Cloud . При появлении запроса выберите свой проект.
Для каждого существующего ключа API в списке откройте окно редактирования.
В разделе «Ограничения API» выберите «Ограничить ключ» , затем добавьте в список все API, к которым вы хотите предоставить доступ с помощью ключа API. Убедитесь, что вы не включили API, для которого создаете отдельный ключ API (в этом примере — Super Service API ).
При настройке ограничений API для ключа API вы явно указываете API, к которым ключ имеет доступ. По умолчанию, если в разделе ограничений API выбран параметр «Не ограничивать ключ» , ключ API может использоваться для доступа к любому API, разрешенному для проекта.

Теперь ваши существующие API-ключи не будут предоставлять доступ к Super Service API , но каждый ключ продолжит работать для любых API, которые вы добавили в список ограничений API .

Шаг 2: Создайте и используйте новый ключ API для доступа к `Super Service API`

Вернитесь на страницу «Учетные данные» . Убедитесь, что ваш проект Firebase по-прежнему выбран.
Нажмите «Создать учетные данные» > «Ключ API» . Запишите новый ключ API, затем нажмите «Ограничить доступ к ключу» .
В разделе ограничений API выберите «Ограничить ключ» , затем добавьте в список только Super Service API .
Этот новый ключ API предоставляет доступ только к Super Service API .
Настройте ваше приложение и сервисы для использования нового ключа API.

Используйте API-ключи, специфичные для вашей среды (рекомендуется).

Если вы настраиваете разные проекты Firebase для разных сред, таких как тестовая и производственная, важно, чтобы каждый экземпляр приложения взаимодействовал со своим соответствующим проектом Firebase. Например, ваш экземпляр приложения для тестовой среды никогда не должен взаимодействовать с вашим производственным проектом Firebase. Это также означает, что ваше приложение для тестовой среды должно использовать ключи API, связанные с вашим тестовым проектом Firebase.

Чтобы уменьшить проблемы с переносом изменений кода из среды разработки в среду тестирования и далее в продакшн, вместо включения ключей API в сам код, можно установить их в качестве переменных окружения или добавить в конфигурационный файл.

Обратите внимание, что если вы используете Firebase Local Emulator Suite для разработки вместе с Firebase ML , вам необходимо создать и использовать ключ API только для отладки. Инструкции по созданию такого ключа можно найти в документации Firebase ML .

Часто задаваемые вопросы и устранение неполадок

Часто задаваемые вопросы

Ограничены ли по умолчанию ключи API для сервисов Firebase?

Да, по умолчанию ко всем API-ключам, которые Firebase автоматически предоставляет для использования с API, связанными с Firebase, автоматически применяются "ограничения API" . См. список API, связанных с Firebase , которые включены в этот список разрешенных.

В этот список разрешенных API добавлены те API, которые вызываются сервисами Firebase из клиентского кода и требуют наличия ключей API для идентификации вашего проекта или приложения Firebase. Обратите внимание, что большинству API, необходимых для использования сервисов Firebase, на самом деле не обязательно быть в списке разрешенных для ваших ключей API.

Все ваши API-ключи и связанные с ними «ограничения API» можно просмотреть на панели «API и сервисы » > «Учетные данные» в консоли Google Cloud .

Обратите внимание на следующее в отношении того, как Firebase применяет эти «ограничения API»:

Начиная с мая 2024 года, все новые ключи API, автоматически предоставляемые Firebase, будут автоматически ограничены списком API, связанных с Firebase .
В течение мая 2024 года все существующие и неограниченные ключи API, которые Firebase ранее автоматически предоставил, будут ограничены списком API, связанных с Firebase, а также любыми из API, которые в настоящее время включены в проект.
Все существующие и уже ограниченные ключи API, которые Firebase ранее автоматически предоставил, не были изменены.
Все существующие ключи API, которые не были автоматически предоставлены Firebase, не были изменены.

Как определить, какой API-ключ связан с моим приложением Firebase?

Для определения того, какой ключ API связан с вашим приложением Firebase, вы можете использовать любой из следующих вариантов:

Консоль Firebase

Перейдите в проекта , затем прокрутите вниз до карточки «Ваши приложения» .
Выберите интересующее вас приложение.
Получите файл конфигурации/объект Firebase для интересующего вас приложения, а затем найдите его ключ API:
- Apple : Загрузите файл GoogleService-Info.plist и найдите поле API_KEY
- Android : Загрузите файл google-services.json , найдите конфигурационный файл для интересующего вас приложения (обратите внимание на имя пакета), а затем найдите поле current_key
- Веб : выберите пункт «Конфигурация» , а затем найдите поле apiKey

Firebase CLI

Чтобы получить файл/объект конфигурации Firebase для интересующего вас приложения, выполните следующую команду:
```
firebase apps:sdkconfig PLATFORM FIREBASE_APP_ID
```
- PLATFORM (одна из): IOS | ANDROID | WEB
- FIREBASE_APP_ID : уникальный идентификатор, присвоенный Firebase вашему приложению Firebase ( найдите свой идентификатор приложения ).
В распечатанном файле конфигурации Firebase найдите ключ API приложения:
- Apple : Найдите поле API_KEY
- Android : Найдите конфигурационный файл интересующего вас приложения (поищите имя пакета), а затем найдите поле current_key
- Веб : Найдите поле apiKey

REST API

Получите apiKeyId (UID) ключа API, вызвав соответствующую конечную точку для интересующего приложения, а затем передайте значение apiKeyId на следующий шаг.
- Apple : Вызов projects.iosApps.get
- Android : Вызов projects.androidApps.get
- Веб : Вызов projects.webApps.get
Чтобы получить строку ключа API, вызовите метод projects.locations.keys.getKeyString .
Значение этого keyString совпадает со значением, которое можно найти в файле конфигурации приложения ( Apple | Android | Web ).

Можно ли указать два API-ключа для одного и того же приложения Firebase в файле/объекте конфигурации Firebase?

Firebase Apple Apps — Каждое приложение имеет свой собственный конфигурационный файл и может содержать только один ключ API.
Приложения Firebase для Android — Все приложения Android в проекте Firebase перечислены в одном и том же конфигурационном файле, и каждое приложение может иметь только один указанный ключ API. Однако в этом конфигурационном файле каждое приложение может иметь свой собственный ключ.
Firebase Web Apps — Каждое приложение имеет свой собственный объект конфигурации и может содержать только один указанный ключ API.

Однако вы можете использовать несколько ключей API в одном приложении. Вам необходимо предоставить механизм для доступа вашего приложения к этим другим ключам API, например, через переменную окружения. Механизм доступа к другим ключам API не должен зависеть от того, указаны ли эти ключи API в вашем конфигурационном файле/объекте Firebase.

Как Firebase определяет, какой API-ключ нужно сопоставить с приложением (например, в конфигурационном файле/объекте Firebase)?

При первом получении файла/объекта конфигурации Firebase вашего приложения Firebase проверяет, существуют ли в вашем проекте какие-либо ключи API с «ограничениями приложения» , соответствующими приложению (например, совпадающий идентификатор пакета для приложения Apple).

Если Firebase не обнаружит ни одного соответствующего ограниченного ключа, то в файле конфигурации/объекте будет указан iOS key для приложений Apple, Android key для приложений Android и Browser key для веб-приложений (при условии, что эти ключи существуют и не имеют «ограничений приложения», которые препятствовали бы их сопоставлению с данным приложением).

Могу ли я вручную удалить ключ API и поле из файла/объекта конфигурации Firebase?

Да, вы можете вручную удалить свой API-ключ из файла конфигурации/объекта. Однако вам необходимо предоставить приложению другой механизм доступа к API-ключу (например, через переменную окружения). В противном случае любые вызовы к сервисам Firebase завершатся неудачей.

Могу ли я вручную редактировать файл/объект конфигурации Firebase, используя разные ключи API?

Да, вы можете вручную отредактировать файл конфигурации/объект, чтобы связать с приложением другой ключ API.

Редактирование ключа API вручную в файле/объекте конфигурации Firebase возможно, но обычно не рекомендуется . Это увеличивает вероятность проблем с доступом к сервисам Firebase. Однако, если вы все же решите отредактировать файл/объект конфигурации, выполните следующие действия:

Убедитесь, что ключ API привязан к идентификатору проекта, указанному в файле/объекте конфигурации.
Убедитесь, что отсутствуют какие-либо «ограничения по ключу API» , которые могли бы помешать использованию ключа API с этим приложением.
Убедитесь, что к ключу API применены соответствующие «ограничения API». См. список API, связанных с Firebase , которые должны быть в списке разрешенных для каждого сервиса/продукта Firebase.

Обратите внимание, что если вы повторно получите файл конфигурации/объект вашего приложения из консоли, он всегда будет отображать ключи API, которые Firebase автоматически сопоставляет с этим приложением . Поэтому вам потребуется повторить ручные изменения по мере необходимости.

Можно ли перенести ключ API из одного проекта Firebase в другой?

Нет, ключ API идентифицирует только конкретный проект и не может быть перенесен в другой проект.

Что произойдет, если я удалю ключ API, указанный в консоли Google Cloud ?

Если вы удалите ключ API, используемый приложением, то вызовы API из этого приложения будут завершаться неудачей. Вы можете получать сообщения, электронные письма или ошибки о попытке использования недействительного ключа API.

Удаление ключа API является необратимым и не подлежит отмене.

Какие API-интерфейсы должны быть указаны в списке разрешенных «ограничений API» для ключа API Firebase?

Для ключа API Firebase в список разрешенных «ограничений API» должны быть включены только те API, которые требуют от клиента предоставления ключа API вместе с вызовом. Обратите внимание, что очень немногие API, связанные с Firebase, имеют это требование. Большинству API, связанных с Firebase и включенных в ваш проект, не нужно включать в список разрешенных «ограничений API» ключа.

Используйте следующую таблицу, чтобы определить, какие API, связанные с Firebase, необходимо включить в список разрешенных «Ограничения API» для ключа API Firebase. Помните, что ключи API Firebase следует использовать только для сервисов Firebase. Узнайте больше о создании отдельных ключей API с ограничениями для определенных типов API .

Вы можете просматривать и управлять ключами API вашего проекта на панели «API и сервисы > Учетные данные» в консоли Google Cloud .

Название API (название сервиса)	отображаемое имя API	Ассоциированная база огня услуга / продукт
firebase.googleapis.com	API управления Firebase	все продукты
logging.googleapis.com	API облачного логирования	все продукты
firebaseinstallations.googleapis.com	API установок Firebase	Cloud Messaging , Crashlytics , In-App Messaging , Performance Monitoring , Remote Config , Firebase ML
firebaseappcheck.googleapis.com	API проверки приложений Firebase	App Check
firebaseappdistribution.googleapis.com	API распространения приложений Firebase	App Distribution
firebaseapptesters.googleapis.com	API для тестирования приложений Firebase	App Distribution
identitytoolkit.googleapis.com	API инструментария идентификации	Authentication
securetoken.googleapis.com	API службы токенов	Authentication
firebaserules.googleapis.com *	API правил Firebase	Cloud Firestore , Cloud Storage , Realtime Database
datastore.googleapis.com	API облачного хранилища данных	Cloud Firestore
firestore.googleapis.com	API Google Cloud Firestore	Cloud Firestore
fcmregistrations.googleapis.com	API регистрации FCM	Cloud Messaging
firebasestorage.googleapis.com	Облачное хранилище для Firebase API	Cloud Storage
firebasedynamiclinks.googleapis.com	API динамических ссылок Firebase	Dynamic Links
firebasehosting.googleapis.com *	API хостинга Firebase	Hosting
firebaseinappmessaging.googleapis.com	API для обмена сообщениями внутри приложений Firebase	In-App Messaging
firebaseml.googleapis.com	API машинного обучения Firebase	Firebase ML
mlkit.googleapis.com **	ML Kit API	Firebase ML
mobilecrashreporting.googleapis.com	API для отправки отчетов о сбоях мобильных устройств	Performance Monitoring
play.googleapis.com	API для разработчиков Android в Google Play	Performance Monitoring
firebaseremoteconfig.googleapis.com	API удаленной конфигурации Firebase	Performance Monitoring , Remote Config
firebaseremoteconfigrealtime.googleapis.com	API Firebase Remote Config в реальном времени	Performance Monitoring , Remote Config
cloudconfig.googleapis.com **	Н/Д	Remote Config
firebasedatabase.googleapis.com *	API базы данных реального времени Firebase	Realtime Database
firebasevertexai.googleapis.com	API Firebase AI Logic	SDK клиента Firebase AI Logic
fpnv.googleapis.com	API проверки номера телефона Firebase	Firebase Phone Number Verification

^{* Требуется только в том случае, если вы используете ключ API Firebase со сторонними инструментами или осуществляете прямой REST-доступ к сервису/продукту Firebase.}

^{**Требуется для более ранних версий SDK продукта. Если вы используете последнюю версию SDK, API не обязательно должен быть в списке разрешенных ключей.**}

Поиск неисправностей

Как исправить ошибку `API_KEY_SERVICE_BLOCKED` или Forbidden 403, указывающую на блокировку запросов к этому API?

Если у вас возникает ошибка API_KEY_SERVICE_BLOCKED или ошибка, похожая на следующую, следуйте инструкциям в этом разделе часто задаваемых вопросов.

Forbidden: 403 POST https://example-service.googleapis.com/method: Requests to this API example-service.googleapis.com method google.example-service.rest.method are blocked.

Ключ API, используемый вашим приложением для вызова API, вероятно, имеет «ограничения API» , и в список разрешенных API этот ключ не входит.

Если вы получаете эту ошибку при попытке использовать сервис/продукт, связанный с Firebase, убедитесь, что используемый вами ключ API содержит все необходимые API, включенные в список разрешенных «ограничений API» .
Если вы получаете эту ошибку при попытке использовать сервис, не относящийся к Firebase , мы настоятельно рекомендуем создать новый ключ API специально для этого сервиса и API. Ключи API Firebase следует использовать только для сервисов/продуктов Firebase. Узнайте больше о создании отдельных, ограниченных ключей API для определенных типов API .

Как исправить эту ошибку? "Не удалось получить идентификатор измерения этого приложения Firebase с сервера."

К ключу API, используемому вашим веб-приложением, вероятно, применяются "ограничения API" . В этом случае убедитесь, что Firebase Management API находится в списке разрешенных API.

Я получил электронное письмо или сообщение об ошибке, указывающее на недействительность моего API-ключа. Что произошло и как это исправить?

Вот несколько наиболее распространенных причин недействительных ключей API:

К ключу API применяются «ограничения ключа API» , которые делают его непригодным для сопоставления с приложением, пытающимся использовать этот ключ («ограничения приложения»), или непригодным для вызываемого API («ограничения API»).
В консоли Google Cloud ключ API был удален из проекта.
Ключ API не был создан для идентификатора проекта, указанного в файле/объекте конфигурации Firebase приложения.

Один из способов решения этой проблемы — получить обновленную версию файла/объекта конфигурации Firebase вашего приложения , а затем заменить старый файл/объект конфигурации новым обновленным файлом/объектом. Перед отправкой файла конфигурации на загрузку или отображением объекта конфигурации в консоли Firebase проверяет, соответствуют ли указанные ключи API приложению (приложениям) .