Узнайте об использовании и управлении ключами API для Firebase.

Ключ API — это уникальная строка, которая используется для направления запросов в ваш проект Firebase при взаимодействии с Firebase и службами Google. На этой странице представлена ​​основная информация о ключах API, а также рекомендации по использованию и управлению ключами API в приложениях Firebase.

Общая информация о ключах API и Firebase

Ключи API для Firebase отличаются от обычных ключей API.

В отличие от того, как обычно используются ключи API, ключи API для служб Firebase не используются для управления доступом к внутренним ресурсам. это можно сделать только с помощью правил безопасности Firebase (чтобы контролировать, какие пользователи могут получить доступ к ресурсам) и проверки приложений (чтобы контролировать, какие приложения могут получать доступ к ресурсам).

Обычно вам необходимо тщательно охранять ключи API (например, используя службу хранилища или устанавливая ключи в качестве переменных среды); однако ключи API для служб Firebase можно включать в код или зарегистрированные файлы конфигурации.

Хотя ключи API для служб Firebase безопасно включать в код, есть несколько конкретных случаев , когда вы должны установить ограничения для своего ключа API; например, если вы используете Firebase ML, Firebase Authentication с методом входа по электронной почте/паролю или оплачиваемый Google Cloud API. Узнайте больше об этих случаях далее на этой странице.

Создание ключей API

У проекта Firebase может быть много ключей API, но каждый ключ API может быть связан только с одним проектом Firebase.

Ключи API, автоматически создаваемые Firebase для ваших приложений Firebase.

Firebase автоматически создает ключи API для вашего проекта, когда вы выполняете одно из следующих действий:

  • Создайте проект Firebase > Автоматически созданный Browser key
  • Создайте приложение Firebase Apple > автоматически созданный iOS key
  • Создайте приложение Firebase для Android > автоматически созданный Android key

Вы также можете создавать собственные ключи API в Google Cloud Console , например, для разработки или отладки . Узнайте больше о том, когда это может быть рекомендовано, далее на этой странице.

Как найти ключи API

Вы можете просматривать все ключи API вашего проекта и управлять ими на панели API и сервисов > Учетные данные в Google Cloud Console.

Вы также можете узнать, какой ключ API автоматически сопоставляется с приложением Firebase , в следующих местах. По умолчанию все приложения Firebase вашего проекта для одной и той же платформы (Apple, Android или Интернет) будут использовать один и тот же ключ API.

  • Firebase Apple Apps — найдите автоматически сопоставленный ключ API приложения в файле конфигурации Firebase, GoogleService-Info.plist , в поле API_KEY .

  • Приложения Firebase для Android . Найдите автоматически сопоставленный ключ API приложения в файле конфигурации Firebase, google-services.json , в поле current_key .

  • Веб-приложения Firebase — найдите автоматически сопоставленный ключ API приложения в объекте конфигурации Firebase в поле apiKey .

Использование ключа API

Ключи API используются для идентификации вашего проекта Firebase при взаимодействии с сервисами Firebase/Google. В частности, они используются для связывания запросов API с вашим проектом для квот и выставления счетов. Они также полезны для доступа к общедоступным данным.

Например, вы можете явно использовать ключ API, передав его значение в вызов REST API в качестве параметра запроса. В этом примере показано, как вы можете сделать запрос к API сокращения ссылок динамических ссылок :

POST https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=API_KEY

Когда ваше приложение вызывает API Firebase, ваше приложение автоматически ищет в файле/объекте конфигурации Firebase ключ API вашего проекта. Однако вы можете установить ключи API, используя другой механизм, включая переменные среды.

Применение ограничений к ключам API (рекомендуется)

Хотя нет необходимости рассматривать ключ API для служб Firebase как секрет, есть некоторые особые случаи (см. ниже), в которых вы можете принять дополнительные меры для защиты вашего проекта от неправомерного использования ключа API.

Увеличьте квоту, если вы используете аутентификацию на основе пароля

Если вы используете аутентификацию Firebase на основе пароля и кто-то завладеет вашим ключом API, он не сможет получить доступ ни к какой базе данных вашего проекта Firebase или данным облачного хранилища , если эти данные защищены правилами безопасности Firebase . Однако они могут использовать ваш ключ API для доступа к конечным точкам аутентификации Firebase и отправлять запросы аутентификации в отношении вашего проекта.

Чтобы уменьшить вероятность того, что кто-то может неправильно использовать ключ API для попытки атаки методом грубой силы, вы можете ужесточить квоту по умолчанию для конечных точек identitytoolkit.googleapis.com , чтобы отразить обычные ожидания трафика вашего приложения. Имейте в виду, что если вы уменьшите эту квоту и ваше приложение внезапно получит пользователей, вы можете получать ошибки входа, пока не увеличите квоту. Вы можете изменить квоты API вашего проекта в Google Cloud Console .

Используйте отдельные ключи API с ограниченным доступом для определенных типов API.

Хотя ключи API, используемые для служб Firebase, как правило, не должны рассматриваться как секретные, вам следует принять некоторые дополнительные меры предосторожности с ключами API, используемыми для предоставления доступа к Google Cloud API, которые вы включили вручную.

Если вы используете Google Cloud API (на любой платформе), который не включается Firebase автоматически (то есть вы включили его самостоятельно), вам следует подумать о создании отдельных ключей API с ограниченным доступом для использования с этими API. Это особенно важно, если API предназначен для оплачиваемой службы Google Cloud.

Например, если вы используете API Firebase ML Cloud Vision на iOS, вам следует создать отдельные ключи API , которые вы будете использовать только для доступа к API Cloud Vision.

Используя отдельные ключи API с ограниченным доступом для API, не относящихся к Firebase, вы можете при необходимости чередовать или заменять ключи, а также добавлять дополнительные ограничения к ключам API, не нарушая использования сервисов Firebase.

Используйте ключи API для конкретной среды (рекомендуется)

Если вы настраиваете разные проекты Firebase для разных сред, например промежуточной и рабочей, важно, чтобы каждый экземпляр приложения взаимодействовал с соответствующим проектом Firebase. Например, экземпляр вашего промежуточного приложения никогда не должен взаимодействовать с вашим рабочим проектом Firebase. Это также означает, что ваше промежуточное приложение должно использовать ключи API, связанные с вашим промежуточным проектом Firebase.

Чтобы уменьшить проблемы, связанные с продвижением изменений кода от разработки к промежуточной стадии и к рабочей среде, вместо того, чтобы включать ключи API в сам код, либо задайте их как переменные среды, либо включите их в файл конфигурации.

Обратите внимание: если вы используете Firebase Local Emulator Suite для разработки вместе с Firebase ML, вы должны создать и использовать ключ API только для отладки. Инструкции по созданию такого ключа можно найти в документации Firebase ML .

Часто задаваемые вопросы