Узнайте об использовании и управлении ключами API для Firebase.

Ключ API – это уникальная строка, которая используется для маршрутизации запросов к вашему проекту Firebase при взаимодействии со службами Firebase и Google. На этой странице описана основная информация о ключах API, а также рекомендации по использованию ключей API и управлению ими с приложениями Firebase.

Общая информация о ключах API и Firebase

Ключи API для Firebase отличаются от типичных ключей API.

В отличие от обычного использования ключей API, ключи API для сервисов Firebase не используются для управления доступом к внутренним ресурсам ; это можно сделать только с помощью правил безопасности Firebase (чтобы контролировать, какие пользователи могут получать доступ к ресурсам) и проверки приложений (чтобы контролировать, какие приложения могут получать доступ к ресурсам).

Обычно вам необходимо тщательно охранять ключи API (например, используя службу хранилища или устанавливая ключи как переменные среды); однако ключи API для сервисов Firebase можно включать в код или зарегистрированные файлы конфигурации.

Хотя ключи API для сервисов Firebase безопасно включать в код, есть несколько конкретных случаев , когда вам следует установить ограничения для вашего ключа API; например, если вы используете Firebase ML, аутентификацию Firebase с методом входа по электронной почте и паролю или платный Google Cloud API. Подробнее об этих случаях читайте далее на этой странице.

Создание ключей API

Проект Firebase может иметь множество ключей API, но каждый ключ API может быть связан только с одним проектом Firebase.

Ключи API автоматически создаются Firebase для ваших приложений Firebase.

Firebase автоматически создает ключи API для вашего проекта, когда вы выполняете любое из следующих действий:

  • Создать проект Firebase > Browser key создан автоматически.
  • Создайте приложение Firebase Apple > iOS key создается автоматически
  • Создание приложения Firebase для Android > Android key создается автоматически

Вы также можете создавать свои собственные ключи API в консоли Google Cloud , например, для разработки или отладки . Узнайте больше о том, когда это может быть рекомендовано, далее на этой странице.

Поиск ключей API

Вы можете просматривать все ключи API вашего проекта и управлять ими на панели API и сервисы > Учетные данные в консоли Google Cloud.

Вы также можете узнать, какой ключ API автоматически сопоставляется с приложением Firebase, в следующих местах. По умолчанию все приложения Firebase вашего проекта для одной и той же платформы (Apple, Android или Web) будут использовать один и тот же ключ API.

  • Приложения Firebase Apple . Найдите автоматически сопоставленный ключ API приложения в файле конфигурации Firebase, GoogleService-Info.plist , в поле API_KEY .

  • Приложения Firebase для Android . Найдите автоматически сопоставленный ключ API приложения в файле конфигурации Firebase, google-services.json , в поле current_key .

  • Веб-приложения Firebase — найдите автоматически сопоставленный ключ API приложения в объекте конфигурации Firebase в поле apiKey .

Использование ключа API

Ключи API используются для идентификации вашего проекта Firebase при взаимодействии со службами Firebase/Google. В частности, они используются для связывания запросов API с вашим проектом для получения квот и выставления счетов. Они также полезны для доступа к общедоступным данным.

Например, вы можете явно использовать ключ API, передав его значение в вызов REST API в качестве параметра запроса. В этом примере показано, как можно сделать запрос к API сокращения ссылок динамических ссылок :

POST https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=API_KEY

Когда ваше приложение выполняет вызов API Firebase, оно автоматически ищет в файле/объекте конфигурации Firebase ключ API вашего проекта. Однако вы можете установить ключи API, используя другой механизм, включая переменные среды.

Применить ограничения к ключам API (рекомендуется)

Хотя нет необходимости рассматривать ключ API для сервисов Firebase как секрет, есть некоторые конкретные случаи (см. ниже), в которых вы можете принять дополнительные меры для защиты вашего проекта от неправильного использования ключа API.

Уменьшите квоту, если вы используете аутентификацию на основе пароля.

Если вы используете аутентификацию Firebase на основе пароля и кто-то заполучил ваш ключ API, он не сможет получить доступ к какой-либо базе данных вашего проекта Firebase или данным облачного хранилища , если эти данные защищены правилами безопасности Firebase . Однако они могут использовать ваш ключ API для доступа к конечным точкам аутентификации Firebase и отправлять запросы аутентификации в отношении вашего проекта.

Чтобы снизить вероятность того, что кто-то может неправильно использовать ключ API для попытки атаки методом перебора, вы можете ужесточить квоту по умолчанию для конечных identitytoolkit.googleapis.com , чтобы она отражала обычные ожидания трафика вашего приложения. Имейте в виду, что если вы ужесточите эту квоту и ваше приложение внезапно привлечет пользователей, у вас могут возникнуть ошибки входа в систему, пока вы не увеличите квоту. Вы можете изменить квоты API вашего проекта в консоли Google Cloud .

Используйте отдельные ограниченные ключи API для определенных типов API.

Хотя ключи API, используемые для сервисов Firebase, обычно не следует рассматривать как секретные, вам следует принять некоторые дополнительные меры предосторожности с ключами API, используемыми для предоставления доступа к API Google Cloud, которые вы включили вручную.

Если вы используете Google Cloud API (на любой платформе), который не включается автоматически Firebase (то есть вы включили его самостоятельно), вам следует рассмотреть возможность создания отдельных ключей API с ограниченным доступом для использования с этими API. Это особенно важно, если API предназначен для платного сервиса Google Cloud.

Например, если вы используете API Cloud Vision Firebase ML на iOS, вам следует создать отдельные ключи API , которые вы будете использовать только для доступа к API Cloud Vision.

Используя отдельные ключи API с ограниченным доступом для API, отличных от Firebase, вы можете при необходимости ротировать или заменять ключи и добавлять дополнительные ограничения к ключам API , не прерывая использование сервисов Firebase.

Используйте ключи API для конкретной среды (рекомендуется)

Если вы настраиваете разные проекты Firebase для разных сред, например для промежуточной и рабочей среды, важно, чтобы каждый экземпляр приложения взаимодействовал со своим соответствующим проектом Firebase. Например, ваш экземпляр промежуточного приложения никогда не должен взаимодействовать с вашим производственным проектом Firebase. Это также означает, что ваше промежуточное приложение должно использовать ключи API, связанные с вашим промежуточным проектом Firebase.

Чтобы уменьшить проблемы с продвижением изменений кода от разработки к промежуточной стадии и к производству, вместо включения ключей API в сам код либо установите их как переменные среды, либо включите в файл конфигурации.

Обратите внимание: если вы используете пакет локального эмулятора Firebase для разработки вместе с Firebase ML, вам необходимо создать и использовать ключ API только для отладки. Инструкции по созданию такого ключа можно найти в документации Firebase ML .

Часто задаваемые вопросы