איך משתמשים במפתחות API ל-Firebase ומנהלים אותם

מפתח API הוא מחרוזת ייחודית שמשמשת לניתוב בקשות לפרויקט Firebase שלכם כשאתם מבצעים אינטראקציה עם Firebase ועם שירותי Google. בדף הזה מופיע מידע בסיסי על מפתחות API, וגם שיטות מומלצות לשימוש ולניהול של מפתחות API באפליקציות Firebase.

מידע כללי על מפתחות API ו-Firebase

מפתחות API ל-Firebase שונים ממפתחות API רגילים

בניגוד לשימוש הרגיל במפתחות API, מפתחות API לשירותי Firebase לא משמשים לבקרת הגישה למשאבי הקצה. אפשר לעשות זאת רק באמצעות Firebase Security Rules (כדי לקבוע אילו משתמשי קצה יכולים לגשת למשאבים) ו-Firebase App Check (כדי לקבוע אילו אפליקציות יכולות לגשת למשאבים).

בדרך כלל צריך לשמור בקפידה על מפתחות API (לדוגמה, באמצעות שירות של מאגר או הגדרת המפתחות כמשתני סביבה). עם זאת, מותר לכלול מפתחות API לשירותי Firebase בקוד או בקובצי תצורה שהועברו ל-checkin.

אפשר לכלול בקוד מפתחות API לשירותי Firebase בבטחה, אבל כדאי לבדוק אותם ולהחיל עליהם הגבלות מתאימות.

יצירת מפתחות API

פרויקט Firebase יכול לכלול הרבה מפתחות API, אבל כל מפתח API יכול להיות משויך רק לפרויקט Firebase אחד.

מפתחות API שנוצרים באופן אוטומטי על ידי Firebase לאפליקציות שלכם ב-Firebase

מערכת Firebase יוצרת מפתחות API באופן אוטומטי לפרויקט שלכם בכל פעם שאתם מבצעים אחת מהפעולות הבאות:

  • יצירת פרויקט Firebase > Browser key נוצר באופן אוטומטי
  • יצירת אפליקציה ל-Apple ב-Firebase > iOS key נוצרה באופן אוטומטי
  • יצירת אפליקציה ל-Android ב-Firebase > Android key נוצרה באופן אוטומטי

אפשר גם ליצור מפתחות API משלכם במסוף Google Cloud, למשל לצורכי פיתוח או ניפוי באגים. בהמשך הדף מוסבר מתי יכול להיות שנמליץ על כך.

איתור מפתחות ה-API

אפשר להציג ולנהל את כל מפתחות ה-API של הפרויקט בחלונית APIs & Services > Credentials במסוף Google Cloud.

אפשר גם למצוא את מפתח ה-API שמשויך באופן אוטומטי לאפליקציית Firebase במקומות הבאים. כברירת מחדל, כל האפליקציות ב-Firebase של הפרויקט לאותה פלטפורמה (Apple לעומת Android לעומת אינטרנט) ישתמשו באותו מפתח API.

  • Firebase Apple Apps – מאתרים את מפתח ה-API שהותאם באופן אוטומטי בקובץ התצורה של Firebase, ‏GoogleService-Info.plist, בשדה API_KEY.

  • אפליקציות ל-Android ב-Firebase – מאתרים את מפתח ה-API שהותאם באופן אוטומטי בקובץ התצורה של Firebase, google-services.json, בשדה current_key.

  • אפליקציות אינטרנט של Firebase – מאתרים את מפתח ה-API שהותאם באופן אוטומטי באובייקט התצורה של Firebase, בשדה apiKey.

שימוש במפתח API

מפתחות API משמשים לזיהוי הפרויקט ב-Firebase במהלך האינטראקציה עם שירותי Firebase או Google. באופן ספציפי, הם משמשים לשיוך בקשות API עם הפרויקט שלכם, לצורכי מכסה וחיוב. הם גם שימושיים לגישה לנתונים ציבוריים.

לדוגמה, אפשר להשתמש במפתח API באופן מפורש על ידי העברת הערך שלו לקריאה ל-API ל-REST כפרמטר של שאילתה. בדוגמה הזו מוסבר איך שולחים בקשה ל-Dynamic Links API לקיצורי קישורים:

POST https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=API_KEY

כשהאפליקציה שולחת קריאה ל-Firebase API שדורש מפתח API שמסופק על ידי לקוח האינטרנט או הנייד, האפליקציה מחפשת באופן אוטומטי את מפתח ה-API של הפרויקט בקובץ התצורה או באובייקט התצורה של Firebase. עם זאת, אפשר לספק מפתחות API לאפליקציה באמצעות מנגנון אחר, כולל משתני סביבה.

לבדוק את ההגבלות המתאימות ולהחיל אותן על מפתחות ה-API (מומלץ)

אין צורך להתייחס למפתח API לשירותי Firebase כסוד, אבל כדאי לבדוק את ההגבלות והמגבלות וליישם אותן כפי שמתואר בקטע הזה.

בדיקת ממשקי ה-API שנוספו באופן אוטומטי לרשימת ההיתרים של מפתחות ה-API של Firebase

כשמערכת Firebase יוצרת מפתח API בפרויקט, אנחנו מוסיפים למפתח הזה באופן אוטומטי את ההגבלות על API. ממשקי ה-API שנוספו לרשימת ההיתרים הזו הם ממשקי API שקשורים ל-Firebase, שדורשים מהלקוח לספק מפתח API יחד עם הקריאה. חשוב לזכור שרוב ממשקי ה-API הנדרשים לשימוש בשירותי Firebase לא צריכים להופיע ברשימת ההיתרים של מפתחות ה-API.

מאחר ש-Firebase מוסיף את ממשקי ה-API הנדרשים לכל שירותי Firebase, רשימת ההיתרים של מפתח API עשויה לכלול ממשקי API של מוצרים שאתם לא משתמשים בהם. אפשר להסיר ממשקי API מרשימת ההיתרים, אבל חשוב מאוד לא להסיר את ממשקי ה-API הנדרשים ל-Firebase ולשירותי Firebase שבהם אתם משתמשים (ראו רשימת ממשקי ה-API שקשורים ל-Firebase שצריכים להופיע ברשימת ההיתרים לכל שירות או מוצר). אחרת, תקבלו שגיאות כשתבצעו קריאות לשירותי Firebase.

צמצום המכסה אם משתמשים ב-Authentication שמבוסס על סיסמה

אם אתם משתמשים ב-Firebase Authentication שמבוסס על סיסמה ומישהו מקבל גישה למפתח ה-API, הוא לא יוכל לגשת למסדי הנתונים או לנתוני Cloud Storage של פרויקט Firebase כל עוד הנתונים האלה מוגנים על ידי Firebase Security Rules. עם זאת, הם יכולים להשתמש במפתח ה-API שלכם כדי לגשת לנקודות הקצה לאימות ב-Firebase ולשלוח בקשות אימות לגבי הפרויקט שלכם.

כדי למזער את האפשרות שמישהו ישתמש לרעה במפתח API כדי לנסות לבצע התקפת כוח גס, אפשר להקשיח את מכסת ברירת המחדל של נקודות הקצה identitytoolkit.googleapis.com כך שתשקף את תחזיות התנועה הרגילות של האפליקציה. חשוב לזכור שאם תגבילו את המכסה הזו והאפליקציה תקבל פתאום משתמשים, יכול להיות שתקבלו שגיאות כניסה עד שתגדילו את המכסה. אפשר לשנות את המכסות של ה-API בפרויקט במסוף Google Cloud.

שימוש במפתחות API נפרדים ומוגבלים לכל שירות שאינו Firebase

בדרך כלל, אין צורך להתייחס למפתחות API המשמשים לשירותי Firebase כסודות, אבל כדאי לנקוט אמצעי זהירות נוספים לגבי מפתחות API שבהם אתם משתמשים בממשקי API אחרים של Google Cloud.

אם אתם משתמשים ב-Google Cloud API (בכל פלטפורמה) שלא מיועד לשירות או למוצר של Firebase, מומלץ מאוד ליצור מפתחות API נפרדים ומוגבלים לשימוש עם ממשקי ה-API האלה. זה חשוב במיוחד אם ה-API מיועד לשירות Google Cloud שאפשר לחייב עליו.

לדוגמה, אם אתם משתמשים ב-Firebase ML וב-Cloud Vision APIs ב-iOS, עליכם ליצור מפתחות API נפרדים שמיועדים רק לגישה ל-Cloud Vision APIs.

שימוש במפתחות API נפרדים ומקובצים עם הגבלות לממשקי API שאינם של Firebase מאפשר לכם לבצע רוטציה או החלפה של המפתחות לפי הצורך ולהוסיף הגבלות נוספות למפתחות ה-API בלי להפריע לשימוש בשירותי Firebase.

ההוראות האלה מתארות איך ליצור מפתח API נפרד ומוגבל לממשק API מזויף שנקרא Super Service API.

שלב 1: מגדירים את מפתחות ה-API הקיימים כך שלא יאפשרו גישה אל Super Service API

  1. פותחים את הדף Credentials במסוף Google Cloud. כשמופיעה בקשה, בוחרים את הפרויקט הרצוי.

  2. פותחים את תצוגת העריכה של כל מפתח API קיים ברשימה.

  3. בקטע API restrictions, בוחרים באפשרות Restrict key ומוסיפים לרשימה את כל ממשקי ה-API שרוצים לתת למפתח ה-API גישה אליהם. חשוב לא לכלול את ה-API שעבורו אתם יוצרים מפתח API נפרד (בדוגמה הזו, Super Service API).

    כשמגדירים הגבלות על ממשקי API של מפתח API, מצהירים באופן מפורש על ממשקי ה-API שיש למפתח גישה אליהם. כברירת מחדל, כשבקטע API restrictions מסומנת האפשרות Don't restrict key, אפשר להשתמש במפתח API כדי לגשת לכל ממשק API שמופעל בפרויקט.

מעכשיו, מפתחות ה-API הקיימים לא יעניקו גישה ל-Super Service API, אבל כל מפתח ימשיך לפעול לכל ממשקי ה-API שהוספתם לרשימה של ההגבלות על ממשקי ה-API שלו.

שלב 2: יוצרים מפתח API חדש ומשתמשים בו כדי לגשת ל-Super Service API

  1. חוזרים לדף Credentials. מוודאים שפרויקט Firebase עדיין נבחר.

  2. לוחצים על Create credentials (יצירת פרטי כניסה) > API key (מפתח API). מציינים את מפתח ה-API החדש ולוחצים על Restrict key.

  3. בקטע API restrictions, בוחרים באפשרות Restrict key ומוסיפים לרשימה רק את Super Service API.

    מפתח ה-API החדש הזה מעניק גישה רק ל-Super Service API.

  4. מגדירים את האפליקציה והשירותים כך שישתמשו במפתח ה-API החדש.

שימוש במפתחות API ספציפיים לסביבה (מומלץ)

אם מגדירים פרויקטים שונים ב-Firebase לסביבות שונות, כמו סביבות Staging וייצור, חשוב שכל מופע של האפליקציה יתקשר עם פרויקט Firebase התואם שלו. לדוגמה, מכונה של אפליקציה בסביבת ייצור אף פעם לא צריכה לתקשר עם פרויקט Firebase בסביבת הייצור. המשמעות היא גם שאפליקציית ה-staging צריכה להשתמש במפתחות API שמשויכים לפרויקט Firebase של ה-staging.

כדי לצמצם בעיות בהעלאת שינויים בקוד משלב הפיתוח לשלב ההרצה בסביבה לצורך בדיקה ולשלב הייצור, במקום לכלול מפתחות API בקוד עצמו, אפשר להגדיר אותם כמשתני סביבה או לכלול אותם בקובץ תצורה.

חשוב לזכור שאם אתם משתמשים ב-Firebase Local Emulator Suite לפיתוח יחד עם Firebase ML, עליכם ליצור מפתח API לצורך ניפוי באגים בלבד ולהשתמש בו. ההוראות ליצירת מפתח כזה מפורטות במסמכי התיעוד של Firebase ML.

שאלות נפוצות ופתרון בעיות

שאלות נפוצות

כן, כברירת מחדל, הגבלות API חלות באופן אוטומטי על כל מפתחות ה-API שמערכת Firebase מקצה באופן אוטומטי לשימוש בממשקי API שקשורים ל-Firebase. כאן אפשר לראות את רשימת ממשקי ה-API שקשורים ל-Firebase שמופיעים ברשימת ההיתרים הזו.

ממשקי ה-API שנוספו לרשימת ההיתרים הזו הם ממשקי ה-API שנקראים על ידי שירותי Firebase מקודק הלקוח, ודורשים מפתחות API לזיהוי הפרויקט או האפליקציה ב-Firebase. שימו לב שרוב ממשקי ה-API הנדרשים לשימוש בשירותי Firebase לא צריכים להופיע ברשימת ההיתרים של מפתחות ה-API.

מאחר ש-Firebase מוסיף את ממשקי ה-API הנדרשים לכל שירותי Firebase, רשימת ההיתרים של מפתח API עשויה לכלול ממשקי API של מוצרים שאתם לא משתמשים בהם. אפשר להסיר ממשתמשי ההרשאה ממשקי API, אבל חשוב מאוד לא להסיר את ממשקי ה-API הנדרשים ל-Firebase ולשירותי Firebase שבהם אתם משתמשים (ראו רשימת ממשקי ה-API שקשורים ל-Firebase שצריכים להופיע ברשימת ההיתרים לכל שירות או מוצר). אחרת, תקבלו שגיאות כשתבצעו קריאות לשירותי Firebase.

אפשר לראות את כל מפתחות ה-API ואת 'הגבלות ה-API' שלהם בחלונית APIs & Services > Credentials במסוף Google Cloud.

הערה לגבי האופן שבו מערכת Firebase מחילה את 'הגבלות ה-API' האלה:

  • החל ממאי 2024, כל מפתחות ה-API החדשים שמערכת Firebase מקצה באופן אוטומטי מוגבלים באופן אוטומטי לרשימת ממשקי ה-API שקשורים ל-Firebase.

  • במהלך מאי 2024, כל מפתחות ה-API הקיימים וללא הגבלה שמערכת Firebase הקצתה בעבר באופן אוטומטי יהיו מוגבלים לרשימת ממשקי ה-API שקשורים ל-Firebase וכן לכל ממשקי ה-API שהופעלו כרגע בפרויקט.

  • מפתחות API קיימים ושכבר הוגבלו, ש-Firebase הקצתה להם הרשאות באופן אוטומטי בעבר, לא השתנו.

  • מפתחות API קיימים שלא הוקצו באופן אוטומטי על ידי Firebase לא השתנו.

אפשר להשתמש באחת מהאפשרויות הבאות כדי לקבוע איזה מפתח API משויך לאפליקציית Firebase:

  1. עוברים אל הגדרות הפרויקט, גוללים למטה אל הכרטיס האפליקציות שלך.

  2. בוחרים את האפליקציה הרצויה.

  3. מקבלים את קובץ התצורה או האובייקט של Firebase לאפליקציה הרלוונטית, ואז מחפשים את מפתח ה-API שלה:

    • Apple: מורידים את GoogleService-Info.plist ומאתרים את השדה API_KEY

    • Android: מורידים את google-services.json, מחפשים את קובץ התצורה של האפליקציה הרצויה (מחפשים את שם החבילה שלה) ואז מחפשים את השדה current_key.

    • אינטרנט: בוחרים באפשרות Config ומאתרים את השדה apiKey.

  1. כדי לקבל את קובץ התצורה או האובייקט של Firebase לאפליקציה הרלוונטית, מריצים את הפקודה הבאה:

    firebase apps:sdkconfig PLATFORM FIREBASE_APP_ID
  2. בהגדרות Firebase המודפסות של האפליקציה, מחפשים את מפתח ה-API שלה:

    • Apple: מחפשים את השדה API_KEY

    • Android: מחפשים את קובץ התצורה של האפליקציה הרצויה (מחפשים את שם החבילה שלה) ואז מחפשים את השדה current_key.

    • אינטרנט: מחפשים את השדה apiKey

  1. כדי לקבל את הערך apiKeyId (ה-UID) של מפתח ה-API, צריך לבצע קריאה לנקודת הקצה הרלוונטית של האפליקציה הרצויה, ולאחר מכן להעביר את הערך apiKeyId לשלב הבא.

  2. מחרוזת מפתח ה-API מתקבלת באמצעות קריאה ל-projects.locations.keys.getKeyString.

    הערך של keyString זהה לערך שאפשר למצוא באובייקט התצורה של האפליקציה (Apple | Android | אינטרנט).

  • אפליקציות Apple של Firebase – לכל אפליקציה יש קובץ תצורה משלה, ואפשר לציין בה רק מפתח API אחד.

  • אפליקציות Firebase ל-Android – כל האפליקציות ל-Android בפרויקט Firebase מפורטות באותו קובץ תצורה, ולכל אפליקציה יכול להיות רשום רק מפתח API אחד. עם זאת, לכל אפליקציה בקובץ התצורה הזה יכול להיות מפתח שונה שמופיע.

  • אפליקציות אינטרנט של Firebase – לכל אפליקציה יש אובייקט תצורה משלה, ואפשר לרשום בה רק מפתח API אחד.

עם זאת, אפשר להשתמש במספר מפתחות API באפליקציה אחת. עליכם לספק לאפליקציה מנגנון לגישה למפתחות ה-API האחרים האלה, למשל באמצעות משתנה סביבה. המנגנון לגישה למפתחות ה-API האחרים לא יכול להסתמך על כך שמפתחות ה-API האלה מופיעים בקובץ או באובייקט התצורה של Firebase.

בפעם הראשונה שמקבלים את הקובץ או האובייקט של הגדרות Firebase של האפליקציה, מערכת Firebase בודקת אם יש בפרויקט מפתחות API קיימים עם Application Restrictions (הגבלות על אפליקציות) שתואמים לאפליקציה (לדוגמה, מזהה חבילה תואם לאפליקציה של Apple).

אם מערכת Firebase לא תמצא מפתחות מוגבלים שתואמים, היא תציין בקובץ התצורה או באובייקט את הערך iOS key לאפליקציות של Apple, את הערך Android key לאפליקציות ל-Android ואת הערך Browser key לאפליקציות אינטרנט (בהנחה שהמפתחות האלה קיימים ואין להם 'הגבלות על אפליקציות' שמונעות מהם להתאים לאפליקציה הזו).

כן, אפשר למחוק את מפתח ה-API באופן ידני מקובץ התצורה או מהאובייקט של התצורה. עם זאת, עליכם לספק מנגנון אחר כדי לאפליקציה תהיה גישה למפתח API (למשל באמצעות משתנה סביבה). אחרת, כל הקריאות לשירותי Firebase ייכשלו.

כן, אפשר לערוך באופן ידני קובץ תצורה או אובייקט תצורה כדי לשייך מפתח API אחר לאפליקציה.

חשוב לזכור: אם תקבלו מחדש את קובץ התצורה או האובייקט של האפליקציה מהמסוף, תמיד יופיעו בו מפתחות ה-API שמערכת Firebase מתאימה באופן אוטומטי לאפליקציה הזו. לכן, תצטרכו לחזור על העריכות הידניות לפי הצורך.

לא, מפתח API מזהה רק פרויקט ספציפי ואי אפשר להעביר אותו לפרויקט אחר.

אם מוחקים מפתח API שנמצא בשימוש באפליקציה, קריאות ה-API מהאפליקציה הזו ייכשלו. יכול להיות שתקבלו דוחות, אימיילים או שגיאות על כך שאתם מנסים להשתמש במפתח API לא תקין.

מחיקת מפתח API היא פעולה סופית ואי אפשר לבטל אותה.

במפתח API של Firebase, רק ממשקי ה-API שצריכים להופיע ברשימת ההיתרים 'הגבלות API' של המפתח הם ממשקי ה-API שדורשים מהלקוח לספק מפתח API יחד עם הקריאה. חשוב לזכור שרק מעט ממשקי API שקשורים ל-Firebase כוללים את הדרישה הזו. רוב ממשקי ה-API שקשורים ל-Firebase שמופעלים בפרויקט לא צריכים להופיע ברשימת ההיתרים 'הגבלות API' של המפתח.

תוכלו להיעזר בטבלה הבאה כדי לקבוע אילו ממשקי API שקשורים ל-Firebase צריך לכלול ברשימת ההיתרים 'הגבלות API' של מפתח API של Firebase. חשוב לזכור: צריך להשתמש במפתחות Firebase API רק לשירותי Firebase. מידע נוסף על יצירת מפתחות API נפרדים ומוגבלים לסוגי ממשקי API ספציפיים

אפשר להציג ולנהל את מפתחות ה-API של הפרויקט בחלונית APIs & Services > Credentials במסוף Google Cloud.

שם ה-API (שם השירות) שם התצוגה של ה-API השירות או המוצר
המשויך ב-Firebase
firebase.googleapis.com Firebase Management API כל המוצרים
logging.googleapis.com Cloud Logging API כל המוצרים
firebaseinstallations.googleapis.com Firebase Installations API Cloud Messaging, Crashlytics, In-App Messaging, Performance Monitoring, Remote Config, Firebase ML
firebaseappcheck.googleapis.com Firebase App Check API App Check
firebaseappdistribution.googleapis.com Firebase App Distribution API App Distribution
firebaseapptesters.googleapis.com Firebase App Testers API App Distribution
identitytoolkit.googleapis.com Identity Toolkit API Authentication
securetoken.googleapis.com Token Service API Authentication
firebaserules.googleapis.com * Firebase Rules API Cloud Firestore, ‏Cloud Storage, ‏Realtime Database
datastore.googleapis.com Cloud Datastore API Cloud Firestore
firestore.googleapis.com Google Cloud Firestore API Cloud Firestore
fcmregistrations.googleapis.com FCM Registration API Cloud Messaging
firebasestorage.googleapis.com Cloud Storage for Firebase API Cloud Storage
firebasedynamiclinks.googleapis.com Firebase Dynamic Links API Dynamic Links
firebasehosting.googleapis.com * Firebase Hosting API Hosting
firebaseinappmessaging.googleapis.com Firebase In-App Messaging API In-App Messaging
firebaseml.googleapis.com Firebase ML API Firebase ML
mlkit.googleapis.com ** ML Kit API Firebase ML
mobilecrashreporting.googleapis.com Mobile Crash Reporting API Performance Monitoring
play.googleapis.com ממשק API למפתח Google Play ב-Android Performance Monitoring
firebaseremoteconfig.googleapis.com Firebase Remote Config API Performance Monitoring, Remote Config
firebaseremoteconfigrealtime.googleapis.com Firebase Remote Config Realtime API Performance Monitoring, Remote Config
cloudconfig.googleapis.com ** לא רלוונטי Remote Config
firebasedatabase.googleapis.com * Firebase Realtime Database API Realtime Database
firebasevertexai.googleapis.com Vertex AI ב-Firebase API Vertex AI in Firebase

* נדרש רק אם משתמשים במפתח ה-API של Firebase עם כלים של צד שלישי או עם גישה ישירה ל-REST לשירות או למוצר של Firebase.

** חובה לגרסאות קודמות של ה-SDK של המוצר. אם אתם משתמשים בגרסה האחרונה של ה-SDK, ה-API לא צריך להופיע ברשימת ההיתרים של המפתח.

פתרון בעיות

אם מופיעה שגיאה מסוג API_KEY_SERVICE_BLOCKED או שגיאה שנראית כך:

Forbidden: 403 POST https://example-service.googleapis.com/method: Requests to this API example-service.googleapis.com method google.example-service.rest.method are blocked.

סביר להניח שמפתח ה-API שבו האפליקציה משתמשת כדי לקרוא ל-API עבר הגבלות API, ורשימת ההיתרים של המפתח לא כוללת את ה-API הזה.

סביר להניח שמפתח ה-API שבו משתמשת אפליקציית האינטרנט שלכם עבר הגבלות API. במקרה כזה, צריך לוודא ש-Firebase Management API נמצא ברשימה של ממשקי ה-API המורשים.

ריכזנו כאן כמה מהסיבות הנפוצות ביותר למפתחות API לא חוקיים:

  • למפתח ה-API הוחלו 'הגבלות על מפתחות API', כך שלא ניתן להתאים אותו לאפליקציה שמנסה להשתמש במפתח ('הגבלות על אפליקציות') או להשתמש בו בממשק ה-API שאליו קוראים ('הגבלות על ממשקי API').

  • מפתח ה-API נמחק מהפרויקט במסוף Google Cloud.

  • מפתח ה-API לא נוצר עבור מזהה הפרויקט שמופיע בקובץ או באובייקט התצורה של האפליקציה ב-Firebase.

אחת מהדרכים לפתרון הבעיה היא לקבל את הגרסה המעודכנת של קובץ התצורה או האובייקט של Firebase באפליקציה, ואז להחליף את קובץ התצורה או האובייקט הישנים בקובץ או באובייקט המעודכנים החדשים. לפני שליחת קובץ תצורה להורדה או הצגת אובייקט תצורה במסוף, מערכת Firebase בודקת שמפתחות ה-API שמפורטים תואמים לאפליקציות.