查看 2022 年 Google I/O 大会上介绍的 Firebase 新动态。了解详情

Questa pagina è stata tradotta dall'API Cloud Translation.

Scopri di più sull'utilizzo e sulla gestione delle chiavi API per Firebase

Una chiave API è una stringa univoca utilizzata per inoltrare le richieste al progetto Firebase quando interagisci con i servizi Firebase e Google. In questa pagina vengono descritti informazioni di base sulle chiavi API, nonché best practice per l'utilizzo e e la gestione delle chiavi API con le app Firebase.

Ecco le cose più importanti da imparare sulle chiavi API per Firebase:

Le API correlate a Firebase utilizzano le chiavi API solo per identificare il progetto o l'app Firebase, non per l'autorizzazione a chiamare l'API (come consentito da alcune altre API). L'autorizzazione per le API correlate a Firebase viene gestita distintamente dalla chiave API tramite le autorizzazioni IAM Google Cloud, Firebase Security Rules o Firebase App Check. Ecco perché è consentito includere le chiavi API di Firebase nel codice se le utilizzi solo con le API correlate a Firebase.
Ti consigliamo di esaminare e applicare limitazioni e restrizioni appropriate a tutte le tue chiavi API (anche alle chiavi API Firebase). In particolare, limita la chiave solo alle API che utilizzi effettivamente la tua app e limitare la quota, se applicabile. Tieni presente che a tutte le chiavi API di cui è stato eseguito il provisioning da Firebase vengono applicate "restrizioni API" per impostazione predefinita.
Utilizza le chiavi API di cui è stato eseguito il provisioning da Firebase solo per le API correlate a Firebase. Per tutte le altre API (ad esempio, API Places per Maps o API Gemini di Google AI), utilizza un chiave API separata.
Ti consigliamo vivamente di proteggere i dati di Realtime Database, Cloud Firestore e Cloud Storage utilizzando Firebase Security Rules. Non fare affidamento solo sulle limitazioni relative alle chiavi API.

Informazioni generali sulle chiavi API e su Firebase

Le chiavi API per Firebase sono diverse dalle chiavi API standard

Diversamente dal modo in cui vengono solitamente utilizzate le chiavi API, le chiavi API per i servizi Firebase non utilizzato per controllare l'accesso alle risorse di backend; che può essere fatto solo con Firebase Security Rules (per controllare quali utenti finali possono accedere alle risorse) e Firebase App Check (per controllare quali app possono accedere alle risorse).

In genere, devi proteggere con attenzione le chiavi API (ad esempio, utilizzando un servizio di archiviazione o impostando le chiavi come variabili di ambiente); tuttavia, è possibile includere le chiavi API per i servizi Firebase nel codice o nei file di configurazione controllati.

Sebbene sia sicuro includere nel codice le chiavi API per i servizi Firebase, dovresti esaminare e applicare restrizioni e limiti appropriati.

Creazione di chiavi API

Un progetto Firebase può avere molte chiavi API, ma ogni chiave API può essere associati a un singolo progetto Firebase.

Chiavi API create automaticamente da Firebase per le tue app Firebase

Firebase crea automaticamente le chiavi API per il tuo progetto quando esegui una delle seguenti operazioni:

Crea un progetto Firebase > Browser key creato automaticamente
Crea un'app Apple Firebase > iOS key creata automaticamente
Crea un'app Firebase per Android > Android key creati automaticamente

Puoi anche creare le tue chiavi API nella console Google Cloud, ad esempio per lo sviluppo o il debug. Scopri di più su quando questo potrebbe essere consigliato più avanti in questa pagina.

Trovare le chiavi API

Puoi visualizzare e gestire tutte le chiavi API del tuo progetto nel riquadro API e servizi > Credenziali della console Google Cloud.

Puoi anche trovare la chiave API abbinata automaticamente a un App Firebase nelle seguenti posizioni. Per impostazione predefinita, tutte le app Firebase del progetto per la stessa piattaforma (Apple, Android o web) utilizzeranno la stessa chiave API.

App per Apple di Firebase: trova la chiave API con corrispondenza automatica nel file di configurazione di Firebase, GoogleService-Info.plist, nel campo API_KEY.
App Firebase per Android: trova la chiave API per la corrispondenza automatica nel di configurazione di Firebase, google-services.json, nel current_key.
App web Firebase: trova la chiave API con corrispondenza automatica nell'oggetto di configurazione Firebase, nel campo apiKey.

Utilizzo di una chiave API

Le chiavi API vengono utilizzate per identificare il progetto Firebase durante l'interazione con servizi Firebase/Google. Nello specifico, vengono utilizzati per associare le richieste API con il tuo progetto per quota e fatturazione. Sono utili anche per accedere ai dati pubblici.

Ad esempio, puoi utilizzare esplicitamente una chiave API passando il relativo valore a una chiamata API REST come parametro di query. Questo esempio mostra come puoi effettuare una richiesta all'API di accorciamento dei link Dynamic Links:

POST https://firebasedynamiclinks.googleapis.com/v1/shortLinks?key=API_KEY

Quando l'app effettua una chiamata a un'API Firebase che richiede una chiave API fornita dal client mobile/web, l'app cercherà automaticamente la chiave API del progetto nell'oggetto/file di configurazione Firebase. Tuttavia, puoi fornire chiavi API per l'app utilizzando un meccanismo diverso, incluso l'ambiente come la codifica one-hot delle variabili categoriche.

Esamina e applica le limitazioni appropriate alle chiavi API (consigliato)

Sebbene non sia necessario trattare una chiave API per i servizi Firebase come un segreto, devi esaminare e applicare le limitazioni e i limiti descritti in questa sezione.

di Gemini Advanced.

Esamina le API aggiunte automaticamente alla lista consentita per le tue chiavi API Firebase

Quando Firebase crea una chiave API nel tuo progetto, aggiungiamo automaticamente "limitazioni API" alla chiave. Le API aggiunte a questa lista consentita sono API correlate a Firebase che richiedono al client di fornire una chiave API insieme alla chiamata. Tieni presente che la maggior parte Le API richieste per l'utilizzo dei servizi Firebase non devono necessariamente per le tue chiavi API.

Poiché Firebase aggiunge le API necessarie per tutti i servizi Firebase, la lista consentita di una chiave API potrebbe includere API per prodotti che non utilizzi. Puoi rimuovere le API dalla lista consentita, ma devi fare molta attenzione a non rimuovere le API richieste per Firebase e per i servizi Firebase che utilizzi (consulta l'elenco delle API correlate a Firebase che devono essere incluse nella lista consentita per ogni servizio/prodotto). In caso contrario, riceverai errori quando effettui chiamate ai servizi Firebase.

Se utilizzi Authentication basato su password, riduci la quota

Se usi l'Firebase Authentication basata su password e qualcuno entra in possesso della tua API non potranno accedere ai database del progetto Firebase o Cloud Storage di dati a condizione che siano protetti da Firebase Security Rules. Potrebbe, tuttavia, utilizzare la tua chiave API per accedere gli endpoint di autenticazione di Firebase ed effettuare richieste di autenticazione del tuo progetto.

Per ridurre la possibilità che qualcuno usi in modo improprio una chiave API tentare un attacco di forza bruta, puoi ridurre la quota predefinita identitytoolkit.googleapis.com endpoint per riflettere il traffico normale le aspettative della tua app. Tieni presente che se aumenti questa quota e la tua app un aumento improvviso degli utenti, potresti ricevere errori di accesso finché non aumenterai la quota. Puoi modificare le quote API del progetto nella Console Google Cloud.

Utilizza chiavi API distinte e limitate per qualsiasi servizio non Firebase

Sebbene in genere non sia necessario trattare le chiavi API utilizzate per i servizi Firebase come segrete, devi adottare alcune precauzioni aggiuntive per le chiavi API che utilizzi con altre API Google Cloud.

Se utilizzi un'API Google Cloud (su qualsiasi piattaforma) non destinata a Firebase servizio / prodotto, consigliamo vivamente di creare chiavi API distinte e limitate per l'uso con queste API. Questo è particolarmente importante se l'API è per un servizio Google Cloud fatturabile.

Ad esempio, se utilizzi Firebase ML e le API Cloud Vision su iOS, devi creare chiavi API separate da utilizzare solo per accedere alle API Cloud Vision.

Utilizzando chiavi API separate e limitate per le API non Firebase, puoi ruotare o sostituire le chiavi in caso di necessità e aggiungere ulteriori limitazioni alle chiavi API senza interrompere l'utilizzo dei servizi Firebase.

Visualizza le istruzioni per la creazione di chiavi specifiche per l'API

Queste istruzioni descrivono come creare una chiave API limitata e separata per un API fake chiamata Super Service API.

Passaggio 1: configura le chiavi API esistenti per non consentire l'accesso a `Super Service API`

Apri la pagina Credenziali della console Google Cloud. Quando richiesto, seleziona il progetto.
Per ogni chiave API esistente nell'elenco, apri la visualizzazione di modifica.
Nella sezione Restrizioni API, seleziona Limita chiave, quindi aggiungi che elenca tutte le API a cui vuoi che abbia accesso la chiave API. Assicurati che di non includere l'API per la quale stai creando una chiave API separata (in questo esempio, Super Service API).

Quando configuri le limitazioni delle API di una chiave API, dichiari esplicitamente le API a cui la chiave ha accesso. Per impostazione predefinita, quando Nella sezione Restrizioni API è selezionata l'opzione Non limitare la chiave, ovvero una chiave API può essere utilizzato per accedere a qualsiasi API abilitata per il progetto.

Ora le tue chiavi API esistenti non concederanno l'accesso a Super Service API, ma ogni chiave continuerà a funzionare per tutte le API che hai aggiunto all'elenco delle limitazioni delle API.

Passaggio 2: crea e utilizza una nuova chiave API per accedere a `Super Service API`

Torna alla pagina Credenziali. Assicurati che il progetto Firebase sia ancora selezionato.
Fai clic su Crea credenziali > Chiave API. Prendi nota della nuova chiave API, quindi fai clic su Limita chiave.
Nella sezione Restrizioni API, seleziona Limita chiave, quindi aggiungi elenca solo Super Service API.

Questa nuova chiave API concede l'accesso solo a Super Service API.
Configura la tua app e i tuoi servizi in modo da utilizzare la nuova chiave API.

Utilizza chiavi API specifiche dell'ambiente (consigliato)

Se configuri progetti Firebase diversi per ambienti diversi, come la gestione temporanea e la produzione, è importante che ogni istanza dell'app interagisca con il progetto Firebase corrispondente. Ad esempio, l'istanza dell'app di staging non deve mai comunicare con il progetto Firebase di produzione. Ciò significa anche che la tua app di staging deve utilizzare le chiavi API associate al progetto Firebase di staging.

Per ridurre i problemi che promuovono modifiche al codice dallo sviluppo alla gestione temporanea di produzione, invece di includere le chiavi API nel codice stesso, impostale come variabili di ambiente o di includerle in un file di configurazione.

Tieni presente che se utilizzi Firebase Local Emulator Suite per lo sviluppo insieme a Firebase ML, devi creare e utilizzare una chiave API solo per il debug. Istruzioni per creare questo tipo di chiave, si trovano Firebase ML documenti.

Domande frequenti e risoluzione dei problemi

Domande frequenti

Sono chiavi API per i servizi Firebase limitati per impostazione predefinita?

Sì, per impostazione predefinita, a tutte le chiavi API di cui Firebase esegue il provisioning automatico per l'utilizzo con le API correlate a Firebase vengono applicate automaticamente le "Restrizioni API". Consulta le delle API relative a Firebase presenti in questa lista consentita.

Le API aggiunte a questa lista consentita sono quelle chiamate dai servizi Firebase da al codice client e richiedono chiavi API per l'identificazione del progetto Firebase o dell'app. Tieni presente che la maggior parte delle API richieste per l'utilizzo dei servizi Firebase non devono far parte della lista consentita delle tue chiavi API.

Poiché Firebase aggiunge le API necessarie per tutti i servizi Firebase, la lista consentita per una chiave API potrebbe includere API per prodotti che non utilizzi. Tu puoi rimuovere le API dalla lista consentita, ma devi fare molta attenzione a non rimuovere le API richieste per Firebase e i servizi Firebase che utilizzi (consulta le elenco delle API correlate a Firebase che devono essere nella lista consentita per ciascun servizio / prodotto). In caso contrario, riceverai errori quando effettui chiamate ai servizi Firebase.

Puoi visualizzare tutte le tue chiavi API e le relative "limitazioni API" nel riquadro API e servizi > Credenziali nella console Google Cloud.

Tieni presente quanto segue su come Firebase applica queste "restrizioni API":

A partire da maggio 2024, per tutte le nuove chiavi API di cui Firebase è stato eseguito il provisioning automatico limitato automaticamente delle API correlate a Firebase.
Nel mese di maggio 2024, tutte le chiavi API esistenti e senza restrizioni di Firebase di cui è stato eseguito il provisioning automatico in precedenza sono limitate elenco delle API correlate a Firebase più qualsiasi API attualmente abilitata del progetto.
Le chiavi API esistenti e già soggette a restrizioni di cui Firebase aveva eseguito in precedenza il provisioning automatico non sono state modificate.
Le eventuali chiavi API esistenti non di cui Firebase è stato eseguito automaticamente non sono state è cambiato.

di Gemini Advanced.

Come posso determinare quale chiave API è associato alla mia app Firebase?

Puoi utilizzare una qualsiasi delle seguenti opzioni per determinare quale chiave API associati alla tua app Firebase:

Console Firebase

Vai a Impostazioni progetto, e scorri verso il basso fino alla scheda Le tue app.
Seleziona l'app che ti interessa.
Ottieni l'oggetto/il file di configurazione Firebase per l'app che ti interessa, quindi individua la relativa chiave API:
- Apple: scarica il GoogleService-Info.plist e individua il campo API_KEY
- Android: scarica google-services.json, trova la configurazione l'app che ti interessa (cerca il nome del pacchetto), quindi trova Campo current_key
- Web: seleziona l'opzione Configurazione, quindi trova il campo apiKey.

Interfaccia a riga di comando Firebase

Ottieni l'oggetto/il file di configurazione di Firebase per l'app di interesse eseguendo il seguente comando:
```
firebase apps:sdkconfig PLATFORM FIREBASE_APP_ID
```
- PLATFORM (uno dei seguenti): IOS | ANDROID | WEB
- FIREBASE_APP_ID: l'identificatore univoco assegnato da Firebase per la tua app Firebase (trova il tuo ID app)
Nella configurazione Firebase stampata dell'app, trova la chiave API:
- Mela: trova il campo API_KEY.
- Android: individua la configurazione dell'app di interesse (cerca il nome del pacchetto) e poi il campo current_key
- Web: trova il campo apiKey

API REST

Ottieni il valore apiKeyId (UID) della chiave API chiamando l'endpoint applicabile per l'app di interesse e poi passando il valore apiKeyId al passaggio successivo.
- Mela: chiama projects.iosApps.get
- Android: chiama projects.androidApps.get
- Web: chiama projects.webApps.get
Ottenere la stringa della chiave API chiamando projects.locations.keys.getKeyString

Il valore keyString è lo stesso che puoi trovare nella artefatto di configurazione (Apple | Android | Web).

Posso avere due chiavi API elencate per la stessa app Firebase nel mio file/oggetto di configurazione Firebase?

App di Firebase per Apple: ogni app ha il proprio file di configurazione e può avere solo una chiave API elencata.
App per Android Firebase: tutte le app per Android nel progetto Firebase sono elencate nello stesso file di configurazione e ogni app può avere una sola chiave API elencata. Tuttavia, ogni app in questo file di configurazione può avere una chiave diversa elencata.
App web di Firebase: ogni app ha il proprio oggetto di configurazione e può avere elencata una sola chiave API.

Tuttavia, puoi utilizzare più chiavi API con una sola app. Devi fornire un meccanismo per consentire alla tua app di accedere a queste altre chiavi API, ad esempio tramite una variabile di ambiente. Il meccanismo di accesso alle altre chiavi API non può dipendere da queste Chiavi API elencate nel file o nell'oggetto di configurazione Firebase.

Come fa Firebase a sapere quale chiave API associare a un'app (ad esempio nell'oggetto/nel file di configurazione di Firebase)?

Quando ottieni per la prima volta l'oggetto/il file di configurazione Firebase della tua app, Firebase controlla se nel tuo progetto sono presenti chiavi API con "Restrizioni per le applicazioni" corrispondenti all'app (ad esempio un ID bundle corrispondente per l'app Apple).

Se Firebase non trova chiavi limitate corrispondenti, verrà elencata in il file/l'oggetto di configurazione iOS key per le app Apple, il Android key per App per Android e Browser key per le app web (supponendo che queste chiavi esistano) e non sono presenti "restrizioni per le applicazioni" che impediscono la corrispondenza app).

Posso farlo manualmente Eliminare la chiave API e il campo dal file o dall'oggetto di configurazione Firebase?

Sì, puoi eliminare manualmente la chiave API dal file o dall'oggetto di configurazione. Tuttavia, devi fornire un altro meccanismo per consentire alla tua app di accedere a una chiave API (ad esempio tramite una variabile di ambiente). In caso contrario, tutte le chiamate ai servizi Firebase non andranno a buon fine.

Posso farlo manualmente Modificare il file o l'oggetto di configurazione Firebase con chiavi API diverse?

Sì, puoi modificare manualmente un file o un oggetto di configurazione per associare una chiave API diversa con un'app.

Modificare manualmente la chiave API nella configurazione di Firebase un file/oggetto è possibile, ma di solito non è consigliato. Aumenta le probabilità di problemi di accesso ai servizi Firebase. Tuttavia, se scegli di modificare l'oggetto/il file di configurazione, procedi nel seguente modo:

Assicurati che la chiave API sia limitata all'ID progetto elencato nella di configurazione del deployment.
Assicurati che non siano presenti "Restrizioni delle chiavi API" che inibirebbero l'API. l'uso della chiave con quell'app.
Assicurati che la chiave API abbia le "restrizioni API" appropriate applicato. Consulta le l'elenco dei API correlate a Firebase che devono essere nella lista consentita per ciascun Servizio / prodotto Firebase.

Tieni presente che ottenere nuovamente il file/l'oggetto di configurazione dell'app dalla console, elencherà sempre le chiavi API Firebase corrisponde automaticamente all'app in questione. Quindi, dovrai ripetere le modifiche manuali, se necessario.

Posso spostare chiave API da un progetto Firebase all'altro?

No, una chiave API identifica solo un progetto specifico e non può essere trasferita a un altro progetto.

Che cosa succede se elimino una chiave API elencata nella console Google Cloud?

Se elimini una chiave API utilizzata da un'app, verranno effettuate le chiamate API da quell'app non riuscirà. Potresti ricevere report, email o errori che stai tentando di utilizzare una chiave API non valida.

L'eliminazione di una chiave API è definitiva e non può essere annullata.

Quali API sono richieste nella lista consentita "Restrizioni API" per una chiave API Firebase?

Per una chiave API Firebase, le uniche API che devono trovarsi nel percorso "Restrizioni API" sono le API che richiedono al client di fornire una chiave API insieme alla chiamata. Tieni presente che pochissime API correlate a Firebase dispongono di questo requisito. La maggior parte delle API correlate a Firebase abilitate nel tuo progetto non deve essere sulle "restrizioni API" della chiave nella lista consentita.

Utilizza la tabella seguente per determinare quali API correlate a Firebase devono essere incluse nella lista consentita "Restrizioni API" per una chiave API Firebase. Ricorda che le chiavi API di Firebase devono essere utilizzate solo per i servizi Firebase. Scopri di più su creazione in corso chiavi API distinte e limitate per tipi specifici di API.

Puoi visualizzare e gestire le chiavi API del tuo progetto nel API e Servizi > Credenziali nella console Google Cloud.

Nome API (nome del servizio)	Nome visualizzato dell'API	Servizio/prodotto Firebase associato
firebase.googleapis.com	API Firebase Management	tutti i prodotti
logging.googleapis.com	API Cloud Logging	tutti i prodotti
firebaseinstallations.googleapis.com	API Firebase Installations	Cloud Messaging, Crashlytics, In-App Messaging, Performance Monitoring, Remote Config, Firebase ML
firebaseappcheck.googleapis.com	API Firebase App Check	App Check
firebaseappdistribution.googleapis.com	API Firebase App Distribution	App Distribution
firebaseapptesters.googleapis.com	API Firebase App Testers	App Distribution
identitytoolkit.googleapis.com	API Identity Toolkit	Authentication
securetoken.googleapis.com	API Token Service	Authentication
firebaserules.googleapis.com *	API Firebase Rules	Cloud Firestore, Cloud Storage, Realtime Database
datastore.googleapis.com	API Cloud Datastore	Cloud Firestore
firestore.googleapis.com	API Google Cloud Firestore	Cloud Firestore
fcmregistrations.googleapis.com	API FCM Registration	Cloud Messaging
firebasestorage.googleapis.com	API Cloud Storage for Firebase	Cloud Storage
firebasedynamiclinks.googleapis.com	API Firebase Dynamic Links	Dynamic Links
firebasehosting.googleapis.com *	API Firebase Hosting	Hosting
firebaseinappmessaging.googleapis.com	API Firebase In-App Messaging	In-App Messaging
firebaseml.googleapis.com	API Firebase ML	Firebase ML
mlkit.googleapis.com **	API ML Kit	Firebase ML
mobilecrashreporting.googleapis.com	Mobile Crash Reporting API	Performance Monitoring
play.googleapis.com	API Google Play Android Developer	Performance Monitoring
firebaseremoteconfig.googleapis.com	API Firebase Remote Config	Performance Monitoring, Remote Config
firebaseremoteconfigrealtime.googleapis.com	API Firebase Remote Config Realtime	Performance Monitoring, Remote Config
cloudconfig.googleapis.com **	N/D	Remote Config
firebasedatabase.googleapis.com *	API Firebase Realtime Database	Realtime Database
firebasevertexai.googleapis.com	API Vertex AI in Firebase	Vertex AI in Firebase

^{* Obbligatorio solo se utilizzi la chiave API Firebase con terze parti
o l'accesso REST diretto al servizio o al prodotto Firebase.}

^{** Obbligatorio per le versioni precedenti dell'SDK del prodotto. Se utilizzi
l'ultima versione dell'SDK, non è necessario che l'API sia presente
nella lista consentita.}

Risoluzione dei problemi

Come faccio a correggere un errore `API_KEY_SERVICE_BLOCKED` o 403 Forbidden che indica che le richieste a questa API sono bloccate?

Se ricevi API_KEY_SERVICE_BLOCKED, segui le indicazioni fornite in queste domande frequenti o un errore simile al seguente:

Forbidden: 403 POST https://example-service.googleapis.com/method: Requests to this API example-service.googleapis.com method google.example-service.rest.method are blocked.

È probabile che alla chiave API utilizzata dalla tua app per chiamare l'API siano state applicate "limitazioni API" e che la lista consentita della chiave non includa l'API.

Se ricevi questo errore quando provi a utilizzare un servizio/prodotto correlato a Firebase, assicurati che la chiave API che stai utilizzando includa tutte le API richieste incluse nella lista consentita "Restrizioni API" della chiave.
Se ricevi questo errore quando provi a utilizzare un servizio non Firebase, ti consigliamo vivamente di creare una nuova chiave API specifica per quel servizio e quell'API. Le chiavi API di Firebase devono essere utilizzate solo per i servizi/prodotti Firebase. Scopri di più sulla creazione di chiavi API separate e con limitazioni per tipi specifici di API.

Come faccio a correggere questo errore? "Impossibile recuperare l'ID misurazione di questa app Firebase dal server."

È probabile che la chiave API utilizzata dalla tua applicazione web "Restrizioni API" applicato. In questo caso, accertati che l'API Firebase Management è nell'elenco delle API consentite.

Ho ricevuto un'email o un messaggio di errore che mi informa che la mia chiave API non è valida. Che cosa è successo e come posso risolvere il problema?

Di seguito sono riportate alcune delle cause più comuni di chiavi API non valide:

La chiave API è "Restrizioni relative alle chiavi API" che la rendono non corrispondente all'app che tenta di utilizzare la chiave ("restrizioni delle applicazioni") o inutilizzabile per la chiamata dell'API ("API") Restrizioni").
La chiave API è stata eliminata dal progetto nella console Google Cloud.
La chiave API non è stata creata per l'ID progetto elencato nell'oggetto/file di configurazione Firebase dell'app.

Un modo per risolvere il problema è ottenere la versione aggiornata dell'app file/oggetto di configurazione Firebase, quindi sostituisci il vecchio file o oggetto di configurazione con il nuovo file o oggetto aggiornato. Prima di inviare un file di configurazione per il download o di visualizzare un oggetto di configurazione nel Console, Firebase controlla che le chiavi API elencate corrispondere alle app.