Esta página foi traduzida pela API Cloud Translation.

Saiba mais sobre como usar e gerenciar chaves de API para Firebase

Uma chave de API é uma string exclusiva usada para encaminhar solicitações para seu projeto do Firebase ao interagir com o Firebase e os serviços do Google. Esta página descreve informações básicas sobre chaves de API, bem como práticas recomendadas para usar e gerenciar chaves de API com aplicativos Firebase.

Informações gerais sobre chaves de API e Firebase

As chaves de API do Firebase são diferentes das chaves de API típicas

Ao contrário de como as chaves de API são normalmente utilizados, chaves de API para serviços Firebase não são usados para controlar o acesso a recursos de back-end; isso só pode ser feito com as regras de segurança do Firebase (para controlar quais usuários podem acessar recursos) e App Check (para controlar quais aplicativos podem acessar recursos).

Normalmente, você precisa proteger cuidadosamente as chaves de API (por exemplo, usando um serviço de cofre ou definindo as chaves como variáveis de ambiente); no entanto, as chaves de API para serviços do Firebase podem ser incluídas no código ou em arquivos de configuração com check-in.

Embora chaves de API para serviços Firebase são seguros para incluir no código, existem alguns casos específicos quando você deve impor limites para a sua chave de API; por exemplo, se você estiver usando Firebase ML, Firebase Authentication com o método de login por e-mail / senha ou uma Google Cloud API faturável. Saiba mais sobre esses casos posteriormente nesta página.

Criação de chaves de API

Um projeto do Firebase pode ter muitas chaves de API, mas cada chave de API só pode ser associada a um único projeto do Firebase.

Chaves de API criadas automaticamente pelo Firebase para seus aplicativos do Firebase

O Firebase cria chaves de API automaticamente para seu projeto quando você faz o seguinte:

Criar um projeto Firebase> Browser key auto-criado
Criar um Firebase iOS App> iOS key auto-criado
Criar um Firebase Android App> Android key auto-criado

Você também pode criar suas próprias chaves de API do Google Cloud Console , por exemplo para o desenvolvimento ou depuração . Saiba mais sobre quando isso pode ser recomendado posteriormente nesta página.

Encontrar suas chaves de API

Você pode visualizar e gerenciar chaves de API tudo do seu projeto nas APIs & Serviços> Credenciais painel no Google Cloud Console.

Você também pode encontrar que chave de API é automaticamente corresponde a um Firebase App nos seguintes locais. Por padrão, todos Firebase Apps do seu projeto para a mesma plataforma (iOS vs Android vs Web) vai usar a mesma chave de API.

Firebase iOS Apps - Encontrar a chave de um aplicativo autopareado API no arquivo de configuração Firebase, GoogleService-Info.plist , na API_KEY campo.
Firebase Apps Android - Localizar chave de API autopareado de um aplicativo no arquivo de configuração Firebase, google-services.json , na current_key campo.
Firebase Web Apps - Localizar chave de API autopareado de um aplicativo no objeto de configuração Firebase, na apiKey campo.

Usando uma chave de API

Chaves de API são usadas para identificar seu projeto Firebase ao interagir com os serviços Firebase / Google. Especificamente, eles são usados para associar solicitações de API ao seu projeto para cota e faturamento. Eles também são úteis para acessar dados públicos.

Por exemplo, você pode usar explicitamente uma chave de API passando seu valor para uma chamada de API REST como um parâmetro de consulta. Este exemplo mostra como você pode fazer um pedido para o Dinâmico ligação ligações encurtador de API :

POST https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=API_KEY

Quando seu aplicativo faz uma chamada para uma API do Firebase, ele procura automaticamente no arquivo / objeto de configuração do Firebase a chave de API do seu projeto. Você pode, no entanto, definir suas chaves de API usando um mecanismo diferente, incluindo variáveis de ambiente.

Aplicar restrições à chaves de API (recomendado)

Embora não seja necessário tratar uma chave de API para serviços do Firebase como um segredo, há alguns casos específicos (veja abaixo) em que você pode querer tomar medidas adicionais para proteger seu projeto do uso indevido da chave de API.

Limite a cota se você usar autenticação baseada em senha

Se você usar autenticação Firebase baseada em senha e alguém se apodera de sua chave API, eles não serão capazes de acessar qualquer um banco de dados do seu projeto Firebase ou dados de armazenamento em nuvem, desde que esses dados são protegidos por regras de segurança de Firebase . Eles podem, no entanto, usar sua chave de API para acessar os endpoints de autenticação do Firebase e fazer solicitações de autenticação em seu projeto.

Para mitigar contra a possibilidade de que alguém pode abusar uma chave de API para tentar um ataque de força bruta, você pode apertar a cota padrão dos identitytoolkit.googleapis.com endpoints para refletir as expectativas normais de tráfego do seu aplicativo. Esteja ciente de que se você restringir essa cota e seu aplicativo ganhar usuários repentinamente, você poderá obter erros de login até aumentar a cota. Você pode alterar quotas de API de seu projeto no Google Cloud Console .

Use chaves de API restritas e separadas para tipos específicos de APIs

Embora as chaves de API usadas para serviços do Firebase geralmente não precisem ser tratadas como secretas, você deve tomar alguns cuidados extras com as chaves de API usadas para conceder acesso às APIs do Google Cloud que você ativou manualmente.

Se você usa uma API do Google Cloud (em qualquer plataforma) que não é ativada automaticamente pelo Firebase (ou seja, você mesmo a ativou), deve considerar a criação de chaves de API restritas e separadas para uso com essas APIs. Isso é particularmente importante se a API for um serviço faturável do Google Cloud.

Por exemplo, se você usar Visão da nuvem APIs do Firebase ML no iOS, você deve criar chaves de API separadas que utilize apenas para acessar a visão APIs nuvem.

Usando chaves de API separados, restritas para não Firebase-APIs, você pode girar ou substituir as chaves quando necessário e adicionar restrições adicionais para as chaves de API sem interromper seu uso dos serviços Firebase.

Expanda esta seção para aprender a criar chaves específicas de API

Estas instruções descrevem como criar uma chave de API separado, restrito para um falso API chamada Super Service API .

Passo 1: Configurar as chaves de API existentes ao acesso disallow a `Super Service API`

Abra a Credenciais página do Google Cloud Console. Quando solicitado, selecione seu projeto.
Para cada chave de API existente na lista, abra a visualização de edição.
Na seção restrições de API, selecione chave Restringir, em seguida, adicione à lista de todas as APIs para o qual você quer a chave de API para ter acesso. Certifique-se de não incluir o API para o qual você está criando uma chave de API separado (neste exemplo, Super Service API ).
Quando você configurar restrições de uma chave de API API, você está declarando explicitamente as APIs para que a chave tem acesso. Por padrão, quando a seção restrições de API tem não restringem chave selecionada, uma chave de API pode ser usada para acessar qualquer API que está habilitado para o projeto.

Agora, suas chaves de API existentes não irá conceder o acesso a Super Service API , mas cada chave vai continuar a trabalhar para qualquer APIs que você adicionou à sua lista de restrições de API.

Passo 2: Criar e usar uma nova chave de API para o acesso à `Super Service API`

Voltar ao Credenciais página. Certifique-se de que seu projeto Firebase ainda esteja selecionado.
Clique em Criar credenciais> chave de API. Tome nota da nova chave de API, em seguida, clique em Restringir chave.
Na seção restrições de API, selecione chave Restringir, em seguida, adicione à lista somente a Super Service API .
Este novo bolsas chave API acessar apenas à Super Service API .
Configure seu aplicativo e serviços para usar a nova chave de API.

Use as teclas específicas do ambiente de API (recomendado)

Se você configurar diferentes projetos do Firebase para diferentes ambientes, como teste e produção, é importante que cada instância do aplicativo interaja com seu projeto correspondente do Firebase. Por exemplo, a instância do aplicativo de teste nunca deve se comunicar com o projeto de produção do Firebase. Isso também significa que seu aplicativo de teste precisa usar chaves de API associadas ao seu projeto de teste do Firebase.

Para reduzir os problemas de promoção de alterações de código do desenvolvimento à preparação para a produção, em vez de incluir chaves de API no próprio código, defina-as como variáveis de ambiente ou inclua-as em um arquivo de configuração.

Observe que, se estiver usando o Firebase Local Emulator Suite para desenvolvimento junto com o Firebase ML, você deve criar e usar uma chave de API somente para depuração. Instruções para criar esse tipo de chave são encontrados nos docs Firebase ML .

FAQs

Recebi um e-mail ou erro informando que minha chave API é inválida. O que aconteceu e como faço para corrigir isso?

Aqui estão algumas das causas mais comuns para chaves de API inválidas:

A chave API tem "API restrições de teclas" aplicadas a ele que o tornam inigualável para o aplicativo tentar utilizar a tecla ( "Restrições de aplicação") ou inutilizável para a API a ser chamado ( "Restrições API").
A chave de API foi excluída do projeto no Google Cloud Console.
A chave de API não foi criada para o ID do projeto listado no arquivo / objeto de configuração do Firebase do aplicativo.

Uma maneira de corrigir este problema é obter a versão atualizada do seu aplicativo do arquivo de configuração Firebase / objeto , em seguida, substituir o seu config / objeto antigo com o novo atualizados arquivo / objeto. Antes de enviar um arquivo de configuração para download ou exibir um objeto de configuração no console, cheques Firebase que a chave API (s) listados jogo a (s) do aplicativo .

Estou recebendo este erro: "Falha ao buscar o ID de medição deste aplicativo Firebase do servidor." Como faço para corrigir isso?

A chave API usada por seu aplicativo web, provavelmente, tem "Restrições API" aplicadas a ele. Nesse caso, certifique-se de que a API Firebase Management esteja na lista de APIs permitidas.

Posso mover uma chave de API de um projeto Firebase para outro?

Não, uma chave de API identifica apenas um projeto específico e não pode ser movida para outro projeto.

Como o Firebase sabe qual chave de API deve corresponder a um aplicativo (como no arquivo / objeto de configuração do Firebase)?

Quando você primeiro obter de seu aplicativo arquivo de configuração Firebase / object , cheques Firebase se existem chaves de API existentes em seu projeto que têm "Restrições de aplicações" que correspondem ao aplicativo (por exemplo, um ID pacote correspondente para o aplicativo iOS).

Se Firebase não encontrar quaisquer chaves restritas que correspondem, em seguida, ele irá listar no arquivo config / objeto a iOS key para iOS, a Android key para aplicativos Android, ea Browser key para aplicações web (assumindo que existem estas chaves e não têm "Restrições de aplicativo" que os impeçam de corresponder a esse aplicativo).

Posso excluir manualmente a chave e o campo da API do meu arquivo / objeto de configuração do Firebase?

Sim, você pode excluir manualmente sua chave de API do arquivo / objeto de configuração. No entanto, você deve fornecer algum outro mecanismo para o seu aplicativo para acessar uma chave de API (como através de uma variável de ambiente). Caso contrário, todas as chamadas para os serviços do Firebase falharão.

Posso editar manualmente meu objeto / arquivo de configuração do Firebase com chaves de API diferentes?

Sim, você pode editar manualmente um arquivo / objeto de configuração para associar uma chave de API diferente a um aplicativo.

Note que se você voltar a obter de seu aplicativo config / objeto a partir do console, será sempre listar as chaves de API que Firebase corresponde automaticamente para esse aplicativo . Portanto, você precisará repetir suas edições manuais, conforme necessário.

Posso ter duas chaves de API listadas para o mesmo aplicativo Firebase em meu arquivo / objeto de configuração do Firebase?

Firebase iOS Apps - Cada aplicativo tem seu próprio arquivo de configuração e pode ter a chave apenas uma API listados.
Firebase Apps Android - Todos os aplicativos Android no projeto Firebase estão listados no mesmo arquivo de configuração, e cada aplicativo só pode ter uma chave API listados. Cada aplicativo neste arquivo de configuração pode ter uma chave diferente listada, no entanto.
Firebase Web Apps - Cada aplicativo tem seu próprio objeto de configuração e pode ter a chave apenas uma API listados.

Você pode usar várias chaves de API com um aplicativo, no entanto. Você deve fornecer um mecanismo para que seu aplicativo acesse essas outras chaves de API, como por meio de uma variável de ambiente. O mecanismo para acessar as outras chaves de API simplesmente não pode depender dessas chaves de API listadas no arquivo / objeto de configuração do Firebase.

O que acontecerá se eu excluir uma chave de API listada no Google Cloud Console?

Se você excluir uma chave de API que está em uso por um aplicativo, as chamadas de API desse aplicativo falharão. Você pode receber relatórios, e-mails ou erros de que está tentando usar uma chave de API inválida.

A exclusão de uma chave de API é permanente e não pode ser desfeita.