我正在使用Giphy的API,目前有一个开发密钥。我想部署我的网站,但不知道它是公开密钥还是私有密钥,并且无法在线找到答案,也无法直接询问他们。
答案 0 :(得分:1)
是的,与任何API密钥相同。
如果您泄漏您的API密钥,并且该密钥被恶意使用它的人滥用,那么您就上钩了。
一个很好的例子是人们将AWS密钥泄漏到Github中,并由加密采矿机器人自动将其删除,然后使用密钥来启动EC2实例并挖掘比特币等。
这里也一样。如果您泄露了生产密钥,那么任何人都可以将其复制到您的应用程序之外并在他们的应用程序中使用它。
处理生产API密钥的正确方法是使用Server Side Requests。
请求应遵循以下路径:
此中间人代码可防止任何人直接与您的API密钥进行交互。
答案 1 :(得分:0)
虽然在回顾他们的introduction和特定的javascript示例后,我通常倾向于同意Jay的回答,但在我看来,应该从浏览器中使用此密钥,因此,它实际上是一个公共密钥。 我认为在此过程的后期,为避免滥用生产API密钥,它们可能仅处理来自与该密钥一起注册的域的请求。 就我所知,开发密钥无论如何仅用于有限的测试目的,因此,如果没有注册域,则问题不大。
答案 2 :(得分:0)
以下是 GIPHY 对此问题的官方回复:
<块引用>GIPHY API 旨在用于客户端(因此也是 API 密钥)。你应该继续使用它。开发完成后 - 请通过开发人员仪表板申请密钥的生产访问权限,这将删除与测试密钥相关的速率限制,因此您不必担心高流量。 最后,也是最重要的 - GIPHY 有针对 API 密钥滥用的监视器设置,如果发生任何事情,我们会与您联系。我们绝对不想让您担心。
似乎不应该担心。