Question

我已获得域名的Google Maps API密钥。

我获取密钥时提供的示例显示了请求参数中嵌入的密钥，例如：

<script src="http://maps.google.com/maps?file=api&amp;v=2&amp;sensor=true_or_false&amp;key=my-key" type="text/javascript"></script>

我感谢请求中的referrer字段必须与我的域匹配，在脚本标记中使我的密钥可见是否安全？或者我还有其他步骤吗？

Answer 1

考虑到密钥必须包含在HTML页面的<script>标记中，要从Google的服务器加载JS文件/数据，您无能为力：

您必须将其放入HTML文件
每个人都可以看看那些。

但是，这并不重要：如果有人试图在另一个域上使用此密钥而不是你的，他们将获得一个Javascript警报 - 这对其他用户来说并不好。

所以：

你无能为力;这是它的工作方式
我不会担心，我会说。

Answer 2

Google API控制台上有一项设置可以保护您的API带宽使用不被其他域/用户使用。您可以在API控制台上使用referrer来限制和保护它。 API密钥将拒绝没有符合您限制条件的引荐请求。

以下是Google针对API Key的屏幕截图，该屏幕只能由Google使用其两个域名。 enter image description here

Answer 3

虽然这个问题已有几年历史，但它是一个非常好的问题。据我所知，它暴露API密钥，即使它们是域匹配的，仍然可能导致滥用。这里有Security Stack Exchange的帖子更详细地介绍了这一点。

Google可以在此发布您可以采取的避免潜在滥用行为的步骤：

安全使用API的最佳做法指南 https://support.google.com/cloud/answer/6310037?hl=en

虽然我建议把所有这些都放在船上，但有一种方法可以处理Brabster发布的特定示例，并将密钥存储在环境变量中。这样，您只需将密钥替换为存储在项目中的服务器端变量即可。但是，请确保不要将存储密钥的文件提交到公共存储库。

Answer 4

我不明白为什么你会打扰。密钥只对您的域名有效吗？ IIRC，其中编码的唯一信息是您的域名，除了Google可能添加的任何信息，例如生成的时间。

Answer 5

您应该使用后端/服务器端来保护和处理密钥。在我的情况下，我使用Django f / w服务器端，它可以提供ajax调用从服务器脚本/ db获取密钥，然后将其传递到谷歌api。

Answer 6

您可以使用php

完成此操作 1.将密钥保存到名为 key.ini 的文件中 googlemaps_api_key=xxxxxxxxxxxxxxxxx

2.将文件保存在网站根文件夹外部的some_folder中，如 home / my_website / some_folder / key.ini ，其中我的网站根目录为 home / my_website / public_html / >

3.在.php页（而不是.html页）中调用最新的Google Maps脚本，并添加
<?php $config['googlemaps_api_key']?>
而不是像
中的实际API密钥。 <script src="https://maps.googleapis.com/maps/api/js?key=<?php $config['googlemaps_api_key']?>&callback=initMap" async defer></script>

现在，该网页将不会向公众显示实际的密钥。结果将是

<script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async="" defer=""></script>

您还可以更改 some_folder 和 key.ini 来进一步限制访问。

请参阅此处，以安全地存储所有凭据
the language report

我应该采取哪些措施来保护我的Google Maps API密钥？

6 个答案: