查看 2022 年 Google I/O 大会上介绍的 Firebase 新动态。了解详情

Cette page a été traduite par l'API Cloud Translation.

Découvrez comment utiliser et gérer les clés API pour Firebase.

Une clé API est une chaîne unique qui permet d'acheminer les requêtes vers votre projet lors de l'interaction avec Firebase et les services Google. Cette page décrit des informations de base sur les clés API, ainsi que les bonnes pratiques d'utilisation et et gérer les clés API avec les applications Firebase.

Voici les points les plus importants à connaître sur les clés API pour Firebase :

API associées à Firebase n'utiliser des clés API que pour identifier le projet ou l'application Firebase ; pas pour l'autorisation d'appeler l'API (comme certaines autres API autoriser). L'autorisation des API liées à Firebase est gérée séparément de la clé API, via les autorisations IAM Google Cloud, Firebase Security Rules ou Firebase App Check. C'est pourquoi vous pouvez inclure des clés API Firebase dans votre code si vous ne les utilisez qu'avec API associées à Firebase.
Nous vous recommandons examiner et appliquer les restrictions appropriées et limites à toutes vos clés API (même vos clés API Firebase). Plus précisément, limitez la clé aux API que vous utilisez réellement dans votre application et limitez le quota, le cas échéant. Notez que les restrictions d'API sont appliquées par défaut à toutes les clés API provisionnées par Firebase.
N'utilisez vos clés API provisionnées par Firebase que pour les API liées à Firebase. Pour toutes les autres API (par exemple, l'API Places pour Maps ou l'API Gemini de Google AI), utilisez un clé API distincte.
Nous vous recommandons vivement de sécuriser votre Realtime Database, les données Cloud Firestore et Cloud Storage à l'aide de Firebase Security Rules. Ne vous appuyez pas uniquement sur les restrictions de clé API.

Informations générales sur les clés API et Firebase

Les clés API pour Firebase sont différentes des clés API standards

Contrairement à l'utilisation habituelle des clés API, les clés API pour les services Firebase sont ne sont pas utilisés pour contrôler l'accès aux ressources backend ; qui ne peut être fait avec Firebase Security Rules (pour contrôler quels utilisateurs finaux peuvent accéder aux ressources) et Firebase App Check (pour contrôler quelles applications peuvent accéder aux ressources)

En règle générale, vous devez protéger minutieusement les clés API (par exemple, en utilisant un service de coffre-fort ou en définissant les clés en tant que variables d'environnement). Toutefois, vous pouvez inclure les clés API des services Firebase dans le code ou les fichiers de configuration enregistrés.

Bien que les clés API pour les services Firebase puissent être incluses dans le code en toute sécurité, vous devez examiner et appliquer les restrictions et limites appropriées ;

Créer des clés API

Un projet Firebase peut avoir de nombreuses clés API, mais chaque clé API ne peut être associées à un seul projet Firebase.

Clés API créées automatiquement par Firebase pour vos applications Firebase

Firebase crée automatiquement des clés API pour votre projet lorsque vous effectuez l'une des suivantes:

Créer un projet Firebase > Browser key créée automatiquement
Créer une application Firebase pour Apple > iOS key créée automatiquement
Créer une application Android Firebase > Android key créée automatiquement

Vous pouvez également créer vos propres clés API dans Console Google Cloud, par exemple pour le développement ou le débogage. Découvrez plus loin sur cette page les cas où cette option peut être recommandée.

Trouver vos clés API

Vous pouvez afficher et gérer toutes les clés API de votre projet dans le API et Services > Identifiants dans la console Google Cloud.

Vous pouvez également voir quelle clé API est automatiquement associée à une l'application Firebase aux emplacements suivants. Par par défaut, toutes les applications Firebase de votre projet pour la même plate-forme (Apple ou Android ou Web) utiliseront la même clé API.

Applications Apple Firebase : recherchez la clé API mise en correspondance automatiquement dans le fichier de configuration Firebase, GoogleService-Info.plist, dans le champ API_KEY.
Applications Android Firebase : recherchez la clé API mise en correspondance automatiquement dans le fichier de configuration Firebase, google-services.json, dans le champ current_key.
Applications Web Firebase : recherchez la clé API associée automatiquement dans Firebase "config", dans le champ apiKey.

Utiliser une clé API

Les clés API permettent d'identifier votre projet Firebase lorsque vous interagissez avec les services Firebase/Google. Plus précisément, elles permettent d'associer des requêtes API à votre projet pour les quotas et la facturation. Elles sont également utiles pour accéder aux données publiques.

Par exemple, vous pouvez utiliser explicitement une clé API en transmettant sa valeur dans un appel d'API REST en tant que paramètre de requête. Cet exemple montre comment effectuer une requête vers API Dynamic Links Link Shortener:

POST https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=API_KEY

Lorsque votre application appelle une API Firebase qui nécessite une clé API par le client mobile/Web, votre application recherche automatiquement Fichier/objet de configuration Firebase pour la clé API de votre projet. Vous pouvez toutefois fournir des clés API pour votre application à l'aide d'un mécanisme différent, y compris des variables d'environnement.

Examiner et appliquer les restrictions appropriées aux clés API (recommandé)

Même s'il n'est pas nécessaire de traiter une clé API pour les services Firebase secret, vous devez examiner et appliquer les restrictions et limites décrites dans ce .

Vérifier les API automatiquement ajoutées à la liste d'autorisation pour vos clés API Firebase

Lorsque Firebase crée une clé API dans votre projet, nous ajoutons automatiquement "Restrictions relatives aux API" à cette clé. Les API ajoutées à cette liste d'autorisation sont des API liées à Firebase qui exigent que le client fournisse une clé API avec l'appel. Notez que la plupart des API requises pour utiliser les services Firebase n'ont pas besoin d'être sur la liste d'autorisation de vos clés API.

Étant donné que Firebase ajoute les API nécessaires à tous les services Firebase, la liste d'autorisation d'une clé API peut inclure des API pour des produits que vous n'utilisez pas. Vous pouvez supprimer des API de la liste d'autorisation, mais vous devez faire très attention à ne pas supprimer les API requises pour Firebase et les services Firebase que vous utilisez (voir la liste des API liées à Firebase à ajouter à la liste d'autorisation pour chaque service/produit). Sinon, vous rencontrerez des erreurs lorsque vous appellerez les services Firebase.

Renforcer le quota si vous utilisez des Authentication basés sur un mot de passe

Si vous utilisez des Firebase Authentication basés sur un mot de passe et que quelqu'un obtient l'accès à votre API il ne pourra pas accéder à la base de données de votre projet Firebase ou Cloud Storage à condition qu'elles soient protégées par Firebase Security Rules. Ils peuvent toutefois utiliser votre clé API pour accéder aux points de terminaison d'authentification de Firebase et envoyer des requêtes d'authentification à votre projet.

Pour réduire le risque qu'une personne utilise de manière abusive une clé API pour tenter une attaque par force brute, vous pouvez resserrer le quota par défaut des points de terminaison identitytoolkit.googleapis.com afin qu'il reflète les attentes de trafic normales de votre application. Sachez que si vous resserrez ce quota et que votre application gagne soudainement des utilisateurs, vous risquez de rencontrer des erreurs de connexion jusqu'à ce que vous augmentiez le quota. Vous pouvez modifier les quotas d'API de votre projet dans la console Google Cloud.

Utiliser des clés API distinctes et limitées pour tout service autre que Firebase

Bien que les clés API utilisées pour les services Firebase ne doivent généralement pas être traitées comme des secrets, vous devez prendre des précautions supplémentaires avec les clés API que vous utilisez avec d'autres API Google Cloud.

Si vous utilisez une API Google Cloud (sur n'importe quelle plate-forme) qui ne concerne pas un service/produit Firebase, nous vous recommandons vivement de créer des clés API distinctes et limitées à utiliser avec ces API. Ceci est particulièrement important si l'API est destinée service Google Cloud facturable.

Par exemple, si vous utilisez Firebase ML et les API Cloud Vision sur iOS, vous devez créer des clés API distinctes que vous n'utilisez que permettant d'accéder aux API Cloud Vision.

En utilisant des clés API restreintes distinctes pour les API en dehors de Firebase, vous pouvez alterner ou remplacez les clés si nécessaire et ajoutez des restrictions supplémentaires à l'API. clés sans interrompre votre utilisation des services Firebase.

Afficher les instructions pour créer des clés spécifiques à l'API

Ces instructions décrivent comment créer une clé API distincte et limitée pour une API factice appelée Super Service API.

Étape 1: Configurez vos clés API existantes pour interdire l'accès à `Super Service API`

Ouvrez la page Identifiants de la console Google Cloud. Lorsque vous y êtes invité, sélectionnez votre projet.
Pour chaque clé API existante dans la liste, ouvrez la vue de modification.
Dans la section Restrictions relatives à l'API, sélectionnez Restreindre la clé, puis ajoutez Répertoriez toutes les API auxquelles vous souhaitez que la clé API ait accès. Assurez-vous que pour ne pas inclure l'API pour laquelle vous créez une clé API distincte. (dans cet exemple, Super Service API).

Lorsque vous configurez les restrictions d'API d'une clé API, vous déclarez explicitement les API auxquelles la clé a accès. Par défaut, lorsque l'option Ne pas restreindre la clé est sélectionnée dans la section Restrictions relatives aux API, une clé API peut être utilisée pour accéder à n'importe quelle API activée pour le projet.

Vos clés API existantes n'accorderont pas l'accès à Super Service API, mais chaque clé continuera de fonctionner pour toutes les API que vous avez ajoutées à son Liste des restrictions d'API.

Étape 2: Créez et utilisez une clé API pour accéder à `Super Service API`

Revenez à la page Identifiants. Assurez-vous que votre projet Firebase est toujours sélectionné.
Cliquez sur Créer des identifiants > Clé API. Notez la nouvelle clé API, puis cliquez sur Restreindre la clé.
Dans la section Restrictions relatives aux API, sélectionnez Restreindre la clé, puis ajoutez à la liste seulement Super Service API.

Cette nouvelle clé API n'accorde l'accès qu'à Super Service API.
Configurez votre application et vos services pour qu'ils utilisent la nouvelle clé API.

Utiliser des clés API spécifiques à l'environnement (recommandé)

Si vous configurez différents projets Firebase pour différents environnements, par exemple de préproduction et de production, il est important que chaque instance d'application interagit avec ses projet Firebase correspondant. Par exemple, votre instance d'application de préproduction ne doit jamais communiquer avec votre projet Firebase de production. Cela signifie également que L'application de préproduction doit utiliser les clés API associées à votre projet Firebase de préproduction.

Pour réduire les problèmes de promotion des modifications de code du développement à l'environnement de préproduction, puis à la production, au lieu d'inclure des clés API dans le code lui-même, définissez-les en tant que variables d'environnement ou incluez-les dans un fichier de configuration.

Notez que si vous utilisez Firebase Local Emulator Suite pour le développement avec Firebase ML, vous devez créer et utiliser une clé API réservée au débogage. Instructions permettant de créer ce type de clé se trouvent Documentation sur Firebase ML

Questions fréquentes et dépannage

Questions fréquentes

Les clés API sont-elles pour les services Firebase restreints par défaut ?

Oui, par défaut, les restrictions d'API sont automatiquement appliquées à toutes les clés API que Firebase provisionne automatiquement pour les utiliser avec les API liées à Firebase. Consultez le Liste des API associées à Firebase figurant sur cette liste d'autorisation.

Les API ajoutées à cette liste d'autorisation sont celles appelées par les services Firebase à partir du code client et qui nécessitent des clés API pour identifier votre projet ou application Firebase. Notez que la plupart des API requises pour utiliser les services Firebase n'ont pas besoin d'être ajoutées à la liste d'autorisation pour vos clés API.

Étant donné que Firebase ajoute les API nécessaires pour tous les services Firebase, d'une clé API peut inclure des API pour des produits que vous n'utilisez pas. Toi peuvent supprimer des API de la liste d'autorisation, mais veillez à ne pas supprimer les API requises pour Firebase et les services Firebase que vous utilisez (consultez les liste des API associées à Firebase qui doivent figurer sur la liste d'autorisation de chaque service / produit). Sinon, vous rencontrerez des erreurs lorsque vous appellerez les services Firebase.

Vous pouvez afficher toutes vos clés API et leurs "restrictions API" dans le panneau API et services > Identifiants de la console Google Cloud.

Notez les points suivants concernant la façon dont Firebase applique ces "restrictions d'API" :

À partir de mai 2024, toutes les nouvelles clés API provisionnées automatiquement par Firebase seront automatiquement Liste des API associées à Firebase
En mai 2024, toutes les clés API existantes et non limitées que Firebase avait précédemment provisionnées automatiquement seront limitées à la liste des API liées à Firebase et à toutes les API actuellement activées du projet.
Toutes les clés API existantes et déjà restreintes que Firebase avait précédemment provisionnées automatiquement n'ont pas été modifiées.
Les clés API existantes qui n'ont pas été provisionnées automatiquement par Firebase n'étaient pas modifié.

Comment déterminer la clé API associée à mon application Firebase ?

Vous pouvez utiliser l'une des options suivantes pour déterminer quelle clé API est associée à votre application Firebase:

Console Firebase

Accéder à Paramètres du projet puis faites défiler l'écran vers le bas jusqu'à la fiche Vos applications.
Sélectionnez l'application qui vous intéresse.
Obtenez le fichier/objet de configuration Firebase de l'application concernée, puis recherchez sa clé API :
- Apple : téléchargez le GoogleService-Info.plist, puis recherchez le champ API_KEY.
- Android : téléchargez le fichier google-services.json, recherchez la configuration de l'application de votre choix (recherchez son nom de package), puis recherchez le champ current_key.
- Web : sélectionnez l'option Config (Configuration), puis recherchez le champ apiKey.

CLI Firebase

Obtenez le fichier/objet de configuration Firebase pour l'application de votre choix en exécutant la commande suivante :
```
firebase apps:sdkconfig PLATFORM FIREBASE_APP_ID
```
- PLATFORM (au choix): IOS | ANDROID | WEB
- FIREBASE_APP_ID: identifiant unique attribué par Firebase pour votre application Firebase (trouver l'ID de votre application) ;
Dans la configuration Firebase imprimée de l'application, recherchez sa clé API :
- Apple: recherchez le champ API_KEY.
- Android: recherchez la configuration de l'application qui vous intéresse nom du package), puis recherchez le champ current_key.
- Web : recherchez le champ apiKey.

API REST

Obtenez l'identifiant apiKeyId (UID) de la clé API en appelant la méthode le point de terminaison applicable à l'application concernée, puis la transmission apiKeyId à l'étape suivante.
- Apple: appelle projects.iosApps.get
- Android: appelez projects.androidApps.get
- Web: appelez projects.webApps.get
Obtenez la chaîne de clé API en appelant projects.locations.keys.getKeyString

Ce keyString est la même valeur que celle qui se trouve dans le artefact de configuration (Apple | Android | Web).

Puis-je avoir deux clés API listées pour la même application Firebase dans ma configuration Firebase fichier/objet ?

Applications Apple Firebase : chaque application dispose de son propre fichier de configuration et ne peut comporter qu'une seule clé API.
Applications Android Firebase : toutes les applications Android du projet Firebase sont dans le même fichier de configuration et que chaque application ne peut avoir qu'une seule clé API dans la liste. Chaque application de ce fichier de configuration peut avoir une clé différente, par contre.
Applications Web Firebase : chaque application possède son propre objet de configuration et ne peut avoir une clé API listée.

Toutefois, vous pouvez utiliser plusieurs clés API avec une même application. Vous devez fournir un mécanisme permettant à votre application d'accéder à ces autres clés API, par exemple via une variable d'environnement. Le mécanisme d'accès aux autres clés API ne peut pas dépendre de leur présence dans votre fichier/objet de configuration Firebase.

Comment Firebase de savoir quelle clé API mettre en correspondance avec une application (comme dans la configuration Firebase fichier/objet) ?

Lorsque vous obtenez pour la première fois le fichier/objet de configuration Firebase de votre application, Firebase vérifie si des clés API existantes de votre projet comportent des restrictions d'application correspondant à l'application (par exemple, un ID de bundle correspondant à l'application Apple).

Si Firebase ne trouve aucune clé restreinte correspondante, il répertorie dans le fichier/objet de configuration iOS key pour les applications Apple, Android key pour les applications Android et Browser key pour les applications Web (en supposant que ces clés existent et qu'elles ne comportent aucune "Restriction d'application" les empêchant de correspondre à cette application).

Puis-je Supprimer la clé API et le champ de mon objet/fichier de configuration Firebase ?

Oui, vous pouvez supprimer manuellement votre clé API dans votre fichier de configuration ou votre objet. Toutefois, vous devez fournir un autre mécanisme permettant à votre application d'accéder à une clé API. (par exemple, via une variable d'environnement). Sinon, les appels aux services Firebase échouera.

Puis-je modifier mon fichier/objet de configuration Firebase avec d'autres clés API ?

Oui, vous pouvez modifier manuellement un fichier/objet de configuration pour associer une autre clé API à une application.

Il est possible de modifier manuellement la clé API dans votre fichier/objet de configuration Firebase, mais cela n'est généralement pas recommandé. Cela augmente les risques de problèmes d'accès aux services Firebase. Toutefois, si vous choisissez de modifier votre fichier ou objet de configuration, procédez comme suit:

Assurez-vous que le champ d'application de la clé API correspond à l'ID du projet indiqué dans fichier/objet de configuration.
Assurez-vous qu'aucun "Restrictions de clé API" qui empêcheraient l'API d'être utilisée avec cette application.
Assurez-vous que la clé API comporte les "restrictions d'API" appropriées appliquée. Consultez la liste des API liées à Firebase qui doivent figurer sur la liste d'autorisation pour chaque service/produit Firebase.

Notez que si vous récupèrez à nouveau le fichier/objet de configuration de votre application à partir de la console, il répertorie toujours les clés API que Firebase associe automatiquement à cette application. Vous devrez donc répéter vos modifications manuelles, si nécessaire.

Puis-je déplacer une clé API d'un projet Firebase à un autre ?

Non, une clé API n'identifie qu'un projet spécifique et ne peut pas être transférée vers un autre projet.

Que se passe-t-il si je supprimer une clé API répertoriée dans la console Google Cloud ?

Si vous supprimez une clé API utilisée par une application, les appels d'API sont alors effectués à partir de cette application. échouera. Il se peut que vous receviez des rapports, des e-mails ou des erreurs que vous essayez d'utiliser. une clé API non valide.

La suppression d'une clé API est définitive et ne peut pas être annulée.

Quel Les API sont requises dans la section "Restrictions relatives aux API" d'une clé API Firebase ?

Pour une clé API Firebase, les seules API qui doivent figurer sur la liste d'autorisation "Restrictions d'API" de la clé sont celles qui exigent que le client fournisse une clé API avec l'appel. Notez que très peu d'API liées à Firebase présentent cette exigence. Il n'est pas nécessaire que la plupart des API associées à Firebase activées dans votre projet sur les "restrictions d'API" de la clé liste d'autorisation.

Utilisez le tableau suivant pour déterminer les API liées à Firebase qui doivent être incluses dans la liste d'autorisation "Restrictions relatives aux API" d'une clé API Firebase. N'oubliez pas : Les clés API Firebase ne doivent être utilisées que pour les services Firebase. Découvrez comment créer des clés API distinctes et limitées pour des types d'API spécifiques.

Vous pouvez afficher et gérer les clés API de votre projet dans la API et Services > Identifiants dans la console Google Cloud.

Nom de l'API (nom du service)	Nom à afficher de l'API	Service / produit Firebase associé
firebase.googleapis.com	API Firebase Management	tous les produits
logging.googleapis.com	API Cloud Logging	tous les produits
firebaseinstallations.googleapis.com	API Firebase Installations	Cloud Messaging, Crashlytics, In-App Messaging, Performance Monitoring, Remote Config, Firebase ML
firebaseappcheck.googleapis.com	API Firebase App Check	App Check
firebaseappdistribution.googleapis.com	API Firebase App Distribution	App Distribution
firebaseapptesters.googleapis.com	API Firebase App Testers	App Distribution
identitytoolkit.googleapis.com	API Identity Toolkit	Authentication
securetoken.googleapis.com	API Token Service	Authentication
firebaserules.googleapis.com *	API Firebase Rules	Cloud Firestore, Cloud Storage, Realtime Database
datastore.googleapis.com	API Cloud Datastore	Cloud Firestore
firestore.googleapis.com	API Google Cloud Firestore	Cloud Firestore
fcmregistrations.googleapis.com	API FCM Registration	Cloud Messaging
firebasestorage.googleapis.com	API Cloud Storage for Firebase	Cloud Storage
firebasedynamiclinks.googleapis.com	API Firebase Dynamic Links	Dynamic Links
firebasehosting.googleapis.com *	API Firebase Hosting	Hosting
firebaseinappmessaging.googleapis.com	API Firebase In-App Messaging	In-App Messaging
firebaseml.googleapis.com	API Firebase ML	Firebase ML
mlkit.googleapis.com **	API ML Kit	Firebase ML
mobilecrashreporting.googleapis.com	Mobile Crash Reporting API	Performance Monitoring
play.googleapis.com	API de développeur Android Google Play	Performance Monitoring
firebaseremoteconfig.googleapis.com	API Firebase Remote Config	Performance Monitoring, Remote Config
firebaseremoteconfigrealtime.googleapis.com	API Firebase Remote Config Realtime	Performance Monitoring, Remote Config
cloudconfig.googleapis.com **	N/A	Remote Config
firebasedatabase.googleapis.com *	API Firebase Realtime Database	Realtime Database
firebasevertexai.googleapis.com	API Vertex AI in Firebase	Vertex AI in Firebase

^{* Obligatoire uniquement si vous utilisez la clé API Firebase avec une clé
ou un accès REST direct au service / produit Firebase.}

^{** Obligatoire pour les versions antérieures du SDK du produit. Si vous utilisez la dernière version du SDK, l'API n'a pas besoin d'être sur la liste d'autorisation de la clé.}

Dépannage

Comment corriger une erreur `API_KEY_SERVICE_BLOCKED` ou 403 Forbidden indiquant que les requêtes envoyées à cette API sont bloquées ?

Suivez les instructions de cette FAQ si une erreur API_KEY_SERVICE_BLOCKED ou une erreur semblable à celle-ci s'affiche :

Forbidden: 403 POST https://example-service.googleapis.com/method: Requests to this API example-service.googleapis.com method google.example-service.rest.method are blocked.

La clé API utilisée par votre application pour appeler l'API "Restrictions relatives aux API" et que la liste d'autorisation de la clé n'inclut pas cette API.

Si vous recevez cette erreur lorsque vous essayez d'utiliser un service/produit lié à Firebase, assurez-vous que la clé API que vous utilisez inclut toutes les API requises dans la liste d'autorisation "Restrictions d'API" de la clé.
Si cette erreur se produit lorsque vous essayez d'utiliser un service autre que Firebase, nous vous recommandons vivement de créer une clé API spécifique API. Les clés API Firebase ne doivent être utilisées que pour les services / produits Firebase. Découvrez comment créer des clés API distinctes et limitées pour des types d'API spécifiques.

Comment résoudre cette erreur ? "Échec de la récupération de l'ID de mesure de cette application Firebase sur le serveur."

La clé API utilisée par votre application Web "Restrictions relatives aux API" appliquée. Dans ce cas, assurez-vous que l'API Firebase Management figure dans la liste des API autorisées.

J'ai reçu un e-mail ou un message d'erreur ma clé API n'est pas valide. Que s'est-il passé et comment résoudre ce problème ?

Voici quelques-unes des causes les plus fréquentes de clés API non valides:

La clé API contient "Restrictions liées aux clés API" qui lui sont appliquées et qui la rendent incohérente avec l'application qui tente d'utiliser la clé ("Restrictions relatives aux applications") ou inutilisable pour l'API appelée Restrictions").
La clé API a été supprimée du projet dans la console Google Cloud.
La clé API n'a pas été créée pour l'ID de projet indiqué dans le fichier Fichier/objet de configuration Firebase.

Pour résoudre ce problème, vous pouvez obtenir la version mise à jour du fichier/objet de configuration Firebase, Ensuite, remplacez votre ancien fichier ou objet de configuration par le nouveau fichier ou objet mis à jour. Avant d'envoyer un fichier de configuration à télécharger ou d'afficher un objet de configuration dans console, Firebase vérifie que la ou les clés API listées correspondent à l'application ou aux applications.