Firebase is back at Google I/O on May 14! Check out the sessions.

本頁面由 Cloud Translation API 翻譯而成。

瞭解如何使用及管理 Firebase 的 API 金鑰

API 金鑰是一組不重複的字串，可在與 Firebase 和 Google 服務互動時，將要求轉送至 Firebase 專案。本頁面說明 API 金鑰的基本資訊，以及透過 Firebase 應用程式使用及管理 API 金鑰的最佳做法。

瞭解 Firebase 的 API 金鑰時，請注意以下重要事項：

Firebase 相關 API 只會使用 API 金鑰來識別 Firebase 專案或應用程式，不適用於授權呼叫 API (例如其他 API 允許)。Firebase 相關 API 的授權會透過 Google Cloud IAM 權限、Firebase 安全性規則或 Firebase App Check，與 API 金鑰分開處理。因此，只要將 Firebase API 金鑰與 Firebase 相關的 API 搭配使用，即可在程式碼中加入 Firebase API 金鑰。
建議您查看並套用適當的限制和限制，並套用至所有 API 金鑰 (包括 Firebase API 金鑰)。具體而言，限制金鑰只能用於您實際在應用程式中使用的 API，並限製配額 (如適用)。請注意，根據預設，所有透過 Firebase 佈建的 API 金鑰都會套用「API 限制」。
強烈建議您使用 Firebase 安全性規則，妥善保護即時資料庫、Cloud Firestore 和 Cloud Storage 的資料。請勿只採用 API 金鑰限制。

API 金鑰和 Firebase 的一般資訊

Firebase 的 API 金鑰與一般 API 金鑰不同

與一般使用的 API 金鑰不同，Firebase 服務的 API 金鑰「無法」用來控制後端資源的「存取權」；只能透過 Firebase 安全性規則 (控制哪些「使用者」可以存取資源) 和 Firebase App Check (控管哪些應用程式可存取資源) 完成。

通常，您需要迅速保護 API 金鑰 (例如使用保管箱服務或將金鑰設為環境變數)；不過，Firebase 服務的 API 金鑰可以加入程式碼或簽到設定檔。

雖然 Firebase 服務的 API 金鑰可以安全加入程式碼中，但您應該詳閱並套用適當限制和限制。

建立 API 金鑰

一個 Firebase 專案可以有許多 API 金鑰，但每個 API 金鑰都只能與一項 Firebase 專案建立關聯。

Firebase 自動為 Firebase 應用程式建立的 API 金鑰

當您執行下列任一操作時，Firebase 會自動為專案建立 API 金鑰：

建立 Firebase 專案 > Browser key 自動建立
建立 Firebase Apple 應用程式 > iOS key 自動建立
建立 Firebase Android 應用程式 > Android key 自動建立

您也可以在 Google Cloud 控制台建立自己的 API 金鑰，例如用於開發或偵錯。請參閱本頁內容，進一步瞭解何時可採用這項做法。

找出 API 金鑰

您可以在 Google Cloud 控制台的「API 和服務」>「憑證」面板中，查看及管理「所有」專案的 API 金鑰。

您也可以在下列位置查看自動比對到 Firebase 應用程式的 API 金鑰。根據預設，您的專案所有位於同一個平台的 Firebase 應用程式 (Apple、Android、網頁) 都會使用相同的 API 金鑰。

Firebase Apple 應用程式 - 在 Firebase 設定檔 GoogleService-Info.plist 的 API_KEY 欄位中，找出自動比對的 API 金鑰。
Firebase Android 應用程式 - 在 Firebase 設定檔 google-services.json 的 current_key 欄位中，找出自動配對的 API 金鑰。
Firebase 網頁應用程式 — 在 Firebase 設定物件的 apiKey 欄位中，找出自動比對的 API 金鑰。

使用 API 金鑰

與 Firebase/Google 服務互動時，API 金鑰可用來識別您的 Firebase 專案。具體而言，這些要求是用於將 API 要求與專案建立關聯以獲得配額和帳單此外也適合用於存取公開資料

例如，您可以將 API 金鑰做為查詢參數傳遞至 REST API 呼叫，藉此明確使用 API 金鑰。以下範例說明如何向 Dynamic Links link shorter API 提出要求：

POST https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=API_KEY

如果應用程式呼叫的 Firebase API 需要行動/網路用戶端提供的 API 金鑰，應用程式會自動在 Firebase 設定檔/物件中尋找專案 API 金鑰。不過，您可以使用環境變數等不同機制，為應用程式提供 API 金鑰。

查看 API 金鑰並套用適當限制 (建議做法)

雖然您不一定要將 Firebase 服務的 API 金鑰視為密鑰，但您應按照本節說明，檢查並套用限制和限制。

查看自動新增至 Firebase API 金鑰許可清單的 API

Firebase 在專案中建立 API 金鑰時，會自動在該金鑰中新增「API 限制」。新增至這份許可清單的 API 是與 Firebase 相關的 API，需要用戶端在呼叫時一併提供 API 金鑰。請注意，使用 Firebase 服務所需的大多數 API 實際上都不需要列在 API 金鑰的許可清單中。

由於 Firebase 會為「所有」Firebase 服務新增必要的 API，因此 API 金鑰的許可清單可能包含您未使用產品的 API。您可以將 API 從許可清單中移除，但請務必避免移除 Firebase 和您使用的 Firebase 服務所需的 API 和 Firebase 服務 (請參閱每項服務 / 產品許可清單中的 Firebase 相關 API 清單)。否則，當您呼叫 Firebase 服務時就會發生錯誤。

如果使用密碼式驗證，請提高配額

如果您使用密碼式 Firebase 驗證，且有人持有您的 API 金鑰，只要該資料受到 Firebase 安全性規則保護，該使用者就「無法」存取您 Firebase 專案的資料庫或 Cloud Storage 資料。不過，他們可以使用您的 API 金鑰存取 Firebase 的驗證端點，並對您的專案提出驗證要求。

為了降低有人濫用 API 金鑰嘗試暴力攻擊的可能性，您可以縮減 identitytoolkit.googleapis.com 端點的預設配額，以反映應用程式預期的流量。請注意，如果您放寬配額後，應用程式突然增加了使用者，系統可能會發生登入錯誤，直到您提高配額為止。您可以在 Google Cloud 控制台中變更專案的 API 配額。

針對任何非 Firebase 服務使用個別且受限制的 API 金鑰

雖然用於 Firebase 服務的 API 金鑰通常不必被視為密鑰，但仍建議您針對與其他 Google Cloud API 搭配使用的 API 金鑰採取額外的預防措施。

如果您使用的 Google Cloud API (在任何平台上) 並非用於 Firebase 服務 / 產品，強烈建議您另外建立受限制的 API 金鑰，以便搭配這些 API 使用。如果 API 是計費的 Google Cloud 服務，這一點尤其重要。

舉例來說，如果您在 iOS 上使用 Firebase ML 和 Cloud Vision API，則應建立單獨的 API 金鑰，專門用於存取 Cloud Vision API。

針對非 Firebase API 使用獨立且受限制的 API 金鑰，您就能視需要輪替或替換金鑰，以及為 API 金鑰新增其他限制，而不會影響 Firebase 服務的使用方式。

查看如何建立 API 專屬金鑰的操作說明

這些操作說明會說明如何為名為 Super Service API 的假 API 建立獨立的受限制 API 金鑰。

步驟 1：將現有的 API 金鑰設為禁止存取 `Super Service API`

開啟 Google Cloud 控制台的「Credentials」(憑證) 頁面。系統出現提示訊息時，請選取專案。
針對清單中的每個現有 API 金鑰，開啟編輯檢視畫面。
在「API 限制」區段中，選取「限制金鑰」，然後加入清單中，讓 API 金鑰能夠存取的所有 API。請務必「不要」加入要建立個別 API 金鑰的 API (在此範例中為 Super Service API)。

設定 API 金鑰的 API 限制時，您會明確宣告該金鑰有權存取的 API。根據預設，如果「API 限制」部分已選取「不要限制金鑰」，則 API 金鑰可用於存取已啟用專案的任何 API。

現在，現有的 API 金鑰不會授予 Super Service API 的存取權，但您加入 API 限制清單內的任何 API 都能繼續使用每個金鑰。

步驟 2：建立並使用新的 API 金鑰來存取「`Super Service API`」

返回「Credentials」(憑證) 頁面。請確保您的 Firebase 專案仍處於選取狀態。
依序按一下「建立憑證」>「API 金鑰」。記下新的 API 金鑰，然後按一下「Restrict key」(限制金鑰)。
在 API 限制區段中，選取「Restrict key」(限制金鑰)，然後只新增至清單 Super Service API。

這個新的 API 金鑰只能授予 Super Service API 的存取權。
設定您的應用程式和服務，以使用新的 API 金鑰。

使用環境專屬 API 金鑰 (建議做法)

如果您為不同的環境 (例如測試環境和實際工作環境) 設定不同的 Firebase 專案，請務必為每個應用程式執行個體與對應的 Firebase 專案互動。例如，測試環境應用程式執行個體不應與實際工作環境的 Firebase 專案通訊。這也表示測試環境應用程式需要使用與測試環境 Firebase 專案相關聯的 API 金鑰。

如要減少將程式碼變更從開發、測試到正式環境等問題，可以將其設為環境變數或納入設定檔中，而非在程式碼本身中加入 API 金鑰。

請注意，如果您將 Firebase 本機模擬器套件與 Firebase ML 搭配使用進行開發，則必須建立並使用僅供偵錯的 API 金鑰。如需建立這類金鑰的操作說明，請參閱 Firebase ML 說明文件。

常見問題與疑難排解

常見問題

預設情況下，Firebase 服務的 API 金鑰會受到限制嗎？

是的，根據預設，Firebase 自動佈建的所有 API 金鑰 (以便與 Firebase 相關 API 搭配使用) 會自動套用 API 限制。查看這份許可清單中的 Firebase 相關 API 清單。

列入這個許可清單的 API 是由 Firebase 服務從用戶端程式碼呼叫的 API，需要 API 金鑰才能識別您的 Firebase 專案或應用程式。請注意，使用 Firebase 服務所需的「大多數」 API 實際上不需要列在 API 金鑰的許可清單中。

由於 Firebase 會為「所有」Firebase 服務新增必要的 API，因此 API 金鑰的許可清單可能包含您未使用產品的 API。您可以將 API 從許可清單中移除，但請勿移除 Firebase 和您使用的 Firebase 服務所需的 API 和 Firebase 服務 (請參閱每項服務 / 產品許可清單中的 Firebase 相關 API 清單)。否則，當您呼叫 Firebase 服務時就會發生錯誤。

您可以在 Google Cloud 控制台的「API 和服務」>「憑證」面板中查看所有 API 金鑰和 API 限制。

請留意 Firebase 如何套用這些「API 限制」：

自 2024 年 5 月起，Firebase 自動佈建的所有新 API 金鑰都會自動列入 Firebase 相關 API 清單中。
在 2024 年 5 月期間，凡是 Firebase 先前自動佈建的現有和無限制 API 金鑰，都只能在Firebase 相關 API 清單以及專案中目前啟用的任何 API 內。
Firebase 先前自動佈建的任何現有和受限 API 金鑰皆不會受到影響。
凡是「不是」Firebase 自動佈建的現有 API 金鑰，都不會受到影響。

如何判斷哪個 API 金鑰與 Firebase 應用程式相關聯？

您可以使用下列任一選項，判斷哪個 API 金鑰與您的 Firebase 應用程式相關聯：

Firebase 控制台

前往「Project settings」，並向下捲動到「Your apps」資訊卡。
選取感興趣的應用程式。
取得您感興趣的應用程式的 Firebase 設定檔/物件，然後找出其 API 金鑰：
- Apple：下載 GoogleService-Info.plist，然後找出 API_KEY 欄位
- Android：下載 google-services.json，找到所需應用程式的設定 (尋找其套件名稱)，然後找出 current_key 欄位
- Web：選取「Config」選項，然後找出「apiKey」欄位

Firebase CLI

執行下列指令，取得所需應用程式的 Firebase 設定檔/物件：
```
firebase apps:sdkconfig PLATFORM FIREBASE_APP_ID
```
- PLATFORM (任一)：IOS | ANDROID | WEB
- FIREBASE_APP_ID：Firebase 為 Firebase 應用程式指派的專屬 ID (尋找應用程式 ID)
在應用程式列印的 Firebase 設定中，找出 API 金鑰：
- Apple：找出 API_KEY 欄位
- Android：找出想查看的應用程式設定 (尋找套件名稱)，然後找出 current_key 欄位
- 網路：尋找「apiKey」欄位

REST API

取得 API 金鑰的 apiKeyId (UID)，方法是呼叫感興趣的應用程式適用的端點，然後將 apiKeyId 值傳遞至下一個步驟。
- Apple：撥打 projects.iosApps.get
- Android：呼叫 projects.androidApps.get
- 網頁版：撥打 projects.webApps.get
呼叫 projects.locations.keys.getKeyString 以取得 API 金鑰字串。

這個 keyString 的值與應用程式設定構件中顯示的值相同 (Apple | Android | 網頁)。

我可以在 Firebase 設定檔/物件中，為同一個 Firebase 應用程式列出兩組 API 金鑰嗎？

Firebase Apple 應用程式：每個應用程式都有專屬的設定檔，並且只能列出一個 API 金鑰。
Firebase Android 應用程式：Firebase 專案中的所有 Android 應用程式都會列在同一個設定檔中，而「每個」應用程式只能列出一個 API 金鑰。不過，這個設定檔中的每個應用程式可以列出不同的金鑰。
Firebase 網頁應用程式：每個應用程式都有專屬的設定物件，並且只能列出一個 API 金鑰。

不過，一個應用程式可以使用多個 API 金鑰。您必須為應用程式提供機制，以便透過環境變數等方式存取其他 API 金鑰。其他 API 金鑰的存取機制無法依附於 Firebase 設定檔/物件中列出的 API 金鑰。

Firebase 如何知道哪個 API 金鑰要與應用程式進行比對 (例如 Firebase 設定檔/物件中的 API)？

您首次取得應用程式的 Firebase 設定檔/物件時，Firebase 會檢查專案中是否有任何現有 API 金鑰的「應用程式限制」符合該應用程式 (例如 Apple 應用程式的相符軟體包 ID)。

如果 Firebase 找不到任何相符的受限制金鑰，就會在設定檔/物件中列出 Apple 應用程式的 iOS key、Android 應用程式的 Android key，以及網頁應用程式的 Browser key (假設這些金鑰已存在，並沒有任何「應用程式限制」導致金鑰無法與該應用程式進行比對)。

我可以手動刪除 Firebase 設定檔/物件中的 API 金鑰和欄位嗎？

可以，您可以手動從設定檔/物件中刪除 API 金鑰。不過，您必須提供其他機制，讓應用程式存取 API 金鑰 (例如透過環境變數)。否則對 Firebase 服務的所有呼叫都會失敗。

我可以使用其他 API 金鑰手動編輯 Firebase 設定檔/物件嗎？

可以，您可以手動編輯設定檔/物件，將不同的 API 金鑰與應用程式建立關聯。

請注意，如果您是從主控台重新取得應用程式的設定檔/物件，則一律會列出 Firebase 自動與該應用程式配對的 API 金鑰。因此，您必須視需要重複手動編輯。

我可以將 API 金鑰從一項 Firebase 專案移至其他專案嗎？

不行，API 金鑰只能識別特定專案，無法移至其他專案。

如果刪除 Google Cloud 控制台中列出的 API 金鑰，會發生什麼事？

如果您刪除某個應用程式正在使用的 API 金鑰，該應用程式的 API 呼叫就會失敗。您可能會收到嘗試使用無效 API 金鑰的報表、電子郵件或錯誤。

API 金鑰一經刪除即無法復原。

對於 Firebase API 金鑰的「API 限制」許可清單中需要哪些 API？

以 Firebase API 金鑰來說，只有需要納入金鑰「API 限制」許可清單的 API，就是要求用戶端在呼叫時一併提供 API 金鑰的 API。請注意，只有少數 Firebase 相關 API 符合這項規定。在專案中已啟用的大多數 Firebase 相關 API 不需要列入金鑰的「API 限制」許可清單中。

請參閱下表，決定要將哪些 Firebase 相關 API 加入 Firebase API 金鑰的「API 限制」許可清單中。別忘了，Firebase API 金鑰僅適用於 Firebase 服務。進一步瞭解如何為特定 API 類型建立個別的受限 API 金鑰。

您可以在 Google Cloud 控制台的「API 和服務」>「憑證」面板中查看及管理專案的 API 金鑰。

API 名稱 (服務名稱)	API 顯示名稱	相關聯的 Firebase 服務 / 產品
firebase.googleapis.com	Firebase Management API	所有產品
logging.googleapis.com	Cloud Logging API	所有產品
firebaseinstallations.googleapis.com	Firebase Installations API	雲端通訊、Crashlytics、應用程式內通訊、Performance Monitoring、遠端設定、Firebase ML
firebaseappcheck.googleapis.com	Firebase App Check API	App Check
firebaseappdistribution.googleapis.com	Firebase 應用程式發布 API	應用程式發布
firebaseapptesters.googleapis.com	Firebase App Testers API	應用程式發布
identitytoolkit.googleapis.com	Identity Toolkit API	驗證
securetoken.googleapis.com	權杖服務 API	驗證
firebaserules.googleapis.com *	Firebase 規則 API	Cloud Firestore、Cloud Storage、即時資料庫
datastore.googleapis.com	Cloud Datastore API	Cloud Firestore
firestore.googleapis.com	Google Cloud Firestore API	Cloud Firestore
fcmregistrations.googleapis.com	FCM Registration API	雲端通訊
firebasestorage.googleapis.com	Cloud Storage for Firebase API	Cloud Storage
firebasedynamiclinks.googleapis.com	Firebase Dynamic Links API	Dynamic Links
firebasehosting.googleapis.com *	Firebase 託管 API	託管
firebaseinappmessaging.googleapis.com	Firebase 應用程式內通訊 API	應用程式內通訊
firebaseml.googleapis.com	Firebase ML API	Firebase ML、Vertex AI for Firebase
mlkit.googleapis.com **	ML Kit API	Firebase ML
mobilecrashreporting.googleapis.com	Mobile Crash Reporting API	Performance Monitoring
play.googleapis.com	Google Play Android Developer API	Performance Monitoring
firebaseremoteconfig.googleapis.com	Firebase 遠端設定 API	Performance Monitoring、遠端設定
firebaseremoteconfigrealtime.googleapis.com	Firebase 遠端設定 Realtime API	Performance Monitoring、遠端設定
cloudconfig.googleapis.com **	不適用	遠端設定
firebasedatabase.googleapis.com *	Firebase 即時資料庫 API	即時資料庫

^{* 只有在 Firebase API 金鑰與第三方工具搭配使用，或直接透過 REST 存取 Firebase 服務 / 產品的情況下，才需要提供這項參數。}

^{** 對舊版產品 SDK 為必填。如果您使用的是最新版的 SDK，則 API 不需要列在金鑰的許可清單中。}

疑難排解

指出向這個 API 發出的要求遭到封鎖 `API_KEY_SERVICE_BLOCKED` 或 403 禁止的錯誤，該如何修正？

如果看到 API_KEY_SERVICE_BLOCKED 錯誤或類似下列錯誤，請按照本常見問題中的指示操作：

Forbidden: 403 POST https://example-service.googleapis.com/method: Requests to this API example-service.googleapis.com method google.example-service.rest.method are blocked.

您的應用程式用於呼叫 API 的 API 金鑰可能已套用「API 限制」，且金鑰的許可清單中未包含該 API。

如果在嘗試使用 Firebase 相關服務 / 產品時收到這個錯誤，請確認目前使用的 API 金鑰含有金鑰「API 限制」許可清單中的所有必要 API。
如果在嘗試使用非 Firebase 服務時收到這個錯誤，強烈建議您針對該服務和 API 建立新的 API 金鑰。Firebase API 金鑰只能用於 Firebase 服務 / 產品。進一步瞭解如何為特定 API 類型建立個別的受限 API 金鑰。

該如何修正這個錯誤？「無法從伺服器擷取這個 Firebase 應用程式的評估 ID。」

網頁應用程式使用的 API 金鑰可能已套用「API 限制」。在這種情況下，請確認 Firebase Management API 列於允許的 API 清單中。

我收到 API 金鑰無效的電子郵件或錯誤訊息。發生什麼問題，我該如何修正這個問題？

以下是 API 金鑰無效最常見的幾個原因：

API 金鑰已套用「API 金鑰限制」，因此該金鑰與嘗試使用金鑰的應用程式 (「應用程式限制」) 無法比對，也不適用於呼叫的 API (「API 限制」)。
API 金鑰已從 Google Cloud 控制台的專案中刪除。
未針對應用程式 Firebase 設定檔/物件中列出的專案 ID 建立 API 金鑰。

修正此問題的方法之一，就是取得應用程式的 Firebase 設定檔/物件更新版本，然後以新的更新檔案/物件取代舊有的設定檔/物件。傳送要下載的設定檔，或在主控台中顯示設定物件之前，Firebase 會檢查所列 API 金鑰是否與應用程式相符。