Tôi nên thực hiện những bước nào để bảo vệ Khóa API Google Maps của mình?

Tôi đã nhận được khóa API Google Maps cho miền của mình.

Các ví dụ được cung cấp khi tôi lấy được khóa của mình cho thấy khóa được nhúng trong các tham số yêu cầu, ví dụ:

<script src="http://maps.google.com/maps?file=api&amp;v=2&amp;sensor=true_or_false&amp;key=my-key" type="text/javascript"></script>

Tôi đánh giá cao rằng trường liên kết giới thiệu trong các yêu cầu phải khớp với miền của tôi, liệu có an toàn để hiển thị khóa của tôi trong các thẻ tập lệnh và những thứ tương tự không? Hoặc có bất kỳ bước nào khác mà tôi nên thực hiện?

Xem xét khóa đó phải được bao gồm trong các <script>thẻ của các trang HTML của bạn, để tải các tệp / dữ liệu JS từ máy chủ của google, bạn không thể làm gì:

• bạn phải đưa nó vào các tệp HTML của mình
• mọi người có thể xem qua những cái đó.

Tuy nhiên, điều đó không thực sự quan trọng: nếu bất kỳ ai cố gắng sử dụng khóa này trên một miền khác không phải của bạn, họ sẽ nhận được cảnh báo Javascript - điều này không tốt cho người dùng.

Vì thế :

• Không có gì bạn có thể làm được ; đây là cách nó hoạt động
• Và không có gì nhiều bạn nên lo lắng, tôi sẽ nói.

Có cài đặt trên bảng điều khiển API của Google có thể bảo vệ việc sử dụng băng tần API của bạn khỏi bị miền / người dùng khác sử dụng. Bạn có thể hạn chế và bảo vệ điều đó bằng cách sử dụng liên kết giới thiệu trên bảng điều khiển API. API Key sẽ từ chối các yêu cầu không có liên kết giới thiệu phù hợp với các hạn chế của bạn.

Đây là ảnh chụp màn hình từ Google cho Khóa API chỉ có thể được sử dụng bởi Google frowm hai miền của nó.

Mặc dù câu hỏi này đã có từ một vài năm trước nhưng nó là một câu hỏi rất hay. Theo tôi hiểu, việc để lộ các khóa API, ngay cả khi chúng được khớp với miền, vẫn có thể dẫn đến lạm dụng. Có một bài đăng trên Security Stack Exchange ở đây trình bày chi tiết hơn về vấn đề này.

Các bước bạn có thể thực hiện để tránh lạm dụng tiềm ẩn đã được Google xuất bản tại đây:

Hướng dẫn Thực hành Tốt nhất để sử dụng API một cách an toàn: https://support.google.com/cloud/answer/6310037?hl=vi

Mặc dù tôi khuyên bạn nên sử dụng tất cả nó trên tàu, có một cách tiếp cận sẽ giải quyết ví dụ cụ thể đã được đăng bởi Brabster và đó là lưu trữ khóa trong một biến môi trường . Bằng cách này, tất cả những gì bạn cần làm là thay thế khóa cho một biến phía máy chủ được lưu trữ trong dự án của bạn. Tuy nhiên, hãy đảm bảo không gửi tệp lưu khóa vào kho lưu trữ công cộng.

Bạn nên sử dụng back end / server side để bảo vệ và xử lý khóa. Trong trường hợp của tôi, tôi đã sử dụng phía máy chủ Django f / w có thể phân phát lệnh gọi ajax để lấy khóa từ tập lệnh máy chủ / db sau đó chuyển nó vào google api.