درباره استفاده و مدیریت کلیدهای API برای Firebase بیاموزید

یک کلید API یک رشته منحصر به فرد است که برای هدایت درخواست‌ها به پروژه Firebase شما هنگام تعامل با Firebase و سرویس‌های Google استفاده می‌شود. این صفحه اطلاعات اولیه در مورد کلیدهای API و همچنین بهترین روش‌ها برای استفاده و مدیریت کلیدهای API با برنامه‌های Firebase را توضیح می‌دهد.

اطلاعات کلی در مورد کلیدهای API و Firebase

کلیدهای API برای Firebase با کلیدهای API معمولی متفاوت هستند

برخلاف نحوه استفاده از کلیدهای API، کلیدهای API برای سرویس‌های Firebase برای کنترل دسترسی به منابع پشتیبان استفاده نمی‌شوند . که فقط با Firebase Security Rules (برای کنترل اینکه کاربران نهایی می توانند به منابع دسترسی داشته باشند) و Firebase App Check (برای کنترل برنامه هایی که می توانند به منابع دسترسی داشته باشند) انجام می شود.

معمولاً باید به دقت از کلیدهای API محافظت کنید (مثلاً با استفاده از سرویس خزانه یا تنظیم کلیدها به عنوان متغیرهای محیطی). با این حال، کلیدهای API برای سرویس‌های Firebase برای گنجاندن در کد یا فایل‌های پیکربندی تأییدشده مناسب هستند.

اگرچه کلیدهای API برای سرویس‌های Firebase برای گنجاندن در کد بی‌خطر هستند، باید محدودیت‌ها و محدودیت‌های مناسب را برای آن‌ها بررسی و اعمال کنید .

ایجاد کلیدهای API

یک پروژه Firebase می‌تواند کلیدهای API زیادی داشته باشد، اما هر کلید API فقط می‌تواند با یک پروژه Firebase مرتبط باشد.

کلیدهای API به طور خودکار توسط Firebase برای برنامه های Firebase شما ایجاد می شوند

وقتی یکی از کارهای زیر را انجام می دهید، Firebase به طور خودکار کلیدهای API را برای پروژه شما ایجاد می کند:

  • یک پروژه Firebase ایجاد کنید > Browser key به طور خودکار ایجاد شد
  • یک برنامه Firebase Apple ایجاد کنید > iOS key به طور خودکار ایجاد می شود
  • یک برنامه Android Firebase ایجاد کنید > Android key به طور خودکار ایجاد شود

همچنین می توانید کلیدهای API خود را در کنسول Google Cloud ایجاد کنید، به عنوان مثال برای توسعه یا اشکال زدایی . در مورد زمانی که ممکن است بعداً در این صفحه توصیه شود، بیشتر بیاموزید.

پیدا کردن کلیدهای API

می‌توانید تمام کلیدهای API پروژه خود را در APIs & Services > پنل اعتبارنامه‌ها در کنسول Google Cloud مشاهده و مدیریت کنید.

همچنین در مکان‌های زیر می‌توانید بیابید کدام کلید API به طور خودکار با برنامه Firebase مطابقت دارد . به طور پیش‌فرض، همه برنامه‌های Firebase پروژه شما برای یک پلتفرم (Apple vs Android vs Web) از یک کلید API استفاده می‌کنند.

  • Firebase Apple Apps — کلید API منطبق‌شده را در فایل پیکربندی Firebase، GoogleService-Info.plist ، در قسمت API_KEY پیدا کنید.

  • برنامه‌های Android Firebase - کلید API منطبق‌شده را در فایل پیکربندی Firebase، google-services.json ، در قسمت current_key پیدا کنید.

  • برنامه‌های وب Firebase - کلید API منطبق‌شده را در شیء پیکربندی Firebase، در قسمت apiKey پیدا کنید.

استفاده از کلید API

کلیدهای API برای شناسایی پروژه Firebase شما هنگام تعامل با سرویس‌های Firebase/Google استفاده می‌شوند. به طور خاص، از آنها برای مرتبط کردن درخواست های API با پروژه شما برای سهمیه و صورتحساب استفاده می شود. آنها همچنین برای دسترسی به داده های عمومی مفید هستند.

به عنوان مثال، شما می توانید به صراحت از یک کلید API با ارسال مقدار آن به یک فراخوانی REST API به عنوان پارامتر پرس و جو استفاده کنید. این مثال نشان می‌دهد که چگونه می‌توانید به API کوتاه‌کننده پیوند Dynamic Links درخواست بدهید:

POST https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=API_KEY

هنگامی که برنامه شما با یک API Firebase تماس می گیرد که نیاز به یک کلید API ارائه شده توسط سرویس گیرنده تلفن همراه/وب دارد، برنامه شما به طور خودکار در فایل پیکربندی Firebase/شیء کلید API پروژه شما جستجو می کند. با این حال، می توانید کلیدهای API را برای برنامه خود با استفاده از مکانیزم متفاوتی از جمله متغیرهای محیطی ارائه دهید.

بررسی و اعمال محدودیت های مناسب برای کلیدهای API (توصیه می شود)

اگرچه لازم نیست یک کلید API برای سرویس‌های Firebase به عنوان یک راز تلقی شود، باید محدودیت‌ها و محدودیت‌هایی را که در این بخش توضیح داده شد، بررسی و اعمال کنید.

APIهایی را که به طور خودکار به فهرست مجاز برای کلیدهای Firebase API شما اضافه می‌شوند، مرور کنید

هنگامی که Firebase یک کلید API در پروژه شما ایجاد می کند، ما به طور خودکار "محدودیت های API" را به آن کلید اضافه می کنیم. APIهای اضافه شده به این لیست مجاز، APIهای مرتبط با Firebase هستند که از مشتری می‌خواهند یک کلید API را همراه با تماس ارائه کند. توجه داشته باشید که اکثر API های مورد نیاز برای استفاده از سرویس های Firebase در واقع نیازی به قرار گرفتن در لیست مجاز کلیدهای API شما ندارند.

از آنجایی که Firebase API های لازم را برای همه سرویس های Firebase اضافه می کند، لیست مجاز برای یک کلید API ممکن است شامل API هایی برای محصولاتی باشد که شما استفاده نمی کنید. شما می‌توانید APIها را از لیست مجاز حذف کنید، اما باید بسیار مراقب باشید که APIهای مورد نیاز برای Firebase و سرویس‌های Firebase را که استفاده می‌کنید حذف نکنید ( لیست APIهای مرتبط با Firebase را که باید در لیست مجاز برای هر سرویس قرار گیرند، ببینید / محصول). در غیر این صورت، هنگام برقراری تماس با خدمات Firebase با خطا مواجه خواهید شد.

اگر Authentication مبتنی بر رمز عبور استفاده می کنید، سهمیه را تشدید کنید

اگر Firebase Authentication مبتنی بر رمز عبور استفاده می‌کنید و شخصی کلید API شما را در دست می‌گیرد، تا زمانی که این داده‌ها توسط Firebase Security Rules محافظت می‌شوند، نمی‌توانند به هیچ یک از پایگاه داده پروژه Firebase یا داده‌های Cloud Storage شما دسترسی داشته باشند. با این حال، آنها می توانند از کلید API شما برای دسترسی به نقاط پایانی احراز هویت Firebase و درخواست احراز هویت در برابر پروژه شما استفاده کنند.

برای کاهش احتمال سوء استفاده شخصی از یک کلید API برای حمله brute force، می‌توانید سهمیه پیش‌فرض نقاط انتهایی identitytoolkit.googleapis.com را محدود کنید تا انتظارات ترافیک عادی برنامه شما را منعکس کند. توجه داشته باشید که اگر این سهمیه را تشدید کنید و برنامه شما به طور ناگهانی کاربرانی پیدا کند، ممکن است تا زمانی که سهمیه را افزایش ندهید، با خطاهای ورود مواجه شوید. می‌توانید سهمیه‌های API پروژه خود را در کنسول Google Cloud تغییر دهید.

برای هر سرویس غیر Firebase از کلیدهای API جداگانه و محدود استفاده کنید

اگرچه کلیدهای API مورد استفاده برای سرویس‌های Firebase معمولاً نیازی به مخفی بودن ندارند، باید اقدامات احتیاطی بیشتری را در مورد کلیدهای API که با سایر APIهای Google Cloud استفاده می‌کنید، انجام دهید.

اگر از Google Cloud API (در هر پلتفرمی) استفاده می‌کنید که برای سرویس/محصول Firebase نیست، ما قویاً توصیه می‌کنیم کلیدهای API مجزا و محدود را برای استفاده با آن APIها ایجاد کنید. اگر API برای سرویس Google Cloud قابل پرداخت باشد، این امر به ویژه مهم است.

به عنوان مثال، اگر Firebase ML و API های Cloud Vision در iOS استفاده می کنید، باید کلیدهای API جداگانه ای ایجاد کنید که فقط برای دسترسی به API های Cloud Vision استفاده می کنید.

با استفاده از کلیدهای API مجزا و محدود برای APIهای غیر Firebase، می‌توانید در صورت لزوم کلیدها را بچرخانید یا جایگزین کنید و بدون ایجاد اختلال در استفاده از سرویس‌های Firebase ، محدودیت‌های اضافی به کلیدهای API اضافه کنید .

استفاده از کلیدهای API مخصوص محیط (توصیه می شود)

اگر پروژه‌های Firebase مختلفی را برای محیط‌های مختلف راه‌اندازی می‌کنید، مانند مرحله‌بندی و تولید، مهم است که هر نمونه برنامه با پروژه Firebase مربوطه خود تعامل داشته باشد. به عنوان مثال، نمونه برنامه استیجینگ شما هرگز نباید با پروژه Firebase تولیدی شما صحبت کند. این همچنین به این معنی است که برنامه مرحله‌بندی شما باید از کلیدهای API مرتبط با پروژه مرحله‌بندی Firebase شما استفاده کند.

برای کاهش مشکلات ترویج تغییرات کد از توسعه به مرحله‌بندی تا تولید، به جای قرار دادن کلیدهای API در خود کد، آنها را به عنوان متغیرهای محیطی تنظیم کنید یا در یک فایل پیکربندی قرار دهید.

توجه داشته باشید که اگر Firebase Local Emulator Suite برای توسعه همراه با Firebase ML استفاده می کنید، باید یک کلید API فقط اشکال زدایی ایجاد کرده و از آن استفاده کنید. دستورالعمل های ایجاد این نوع کلید در اسناد Firebase ML یافت می شود.

سوالات متداول و عیب یابی

سوالات متداول

عیب یابی