我应该采取哪些措施来保护我的Google Maps API密钥?

时间:2009-09-01 21:59:56

标签: google-maps

我已获得域名的Google Maps API密钥。

我获取密钥时提供的示例显示了请求参数中嵌入的密钥,例如:

<script src="http://maps.google.com/maps?file=api&amp;v=2&amp;sensor=true_or_false&amp;key=my-key" type="text/javascript"></script>

我感谢请求中的referrer字段必须与我的域匹配,在脚本标记中使我的密钥可见是否安全?或者我还有其他步骤吗?

6 个答案:

答案 0 :(得分:82)

考虑到密钥必须包含在HTML页面的<script>标记中,要从Google的服务器加载JS文件/数据,您无能为力:

  • 您必须将其放入HTML文件
  • 每个人都可以看看那些。

但是,这并不重要:如果有人试图在另一个域上使用此密钥而不是你的,他们将获得一个Javascript警报 - 这对其他用户来说并不好。

所以:

  • 你无能为力;这是它的工作方式
  • 我不会担心,我会说。

答案 1 :(得分:19)

Google API控制台上有一项设置可以保护您的API带宽使用不被其他域/用户使用。您可以在API控制台上使用referrer来限制和保护它。 API密钥将拒绝没有符合您限制条件的引荐请求。

以下是Google针对API Key的屏幕截图,该屏幕只能由Google使用其两个域名。 enter image description here

答案 2 :(得分:11)

虽然这个问题已有几年历史,但它是一个非常好的问题。据我所知,它暴露API密钥,即使它们是域匹配的,仍然可能导致滥用。这里有Security Stack Exchange的帖子更详细地介绍了这一点。

Google可以在此发布您可以采取的避免潜在滥用行为的步骤:

安全使用API​​的最佳做法指南 https://support.google.com/cloud/answer/6310037?hl=en

虽然我建议把所有这些都放在船上,但有一种方法可以处理Brabster发布的特定示例,并将密钥存储在环境变量中。这样,您只需将密钥替换为存储在项目中的服务器端变量即可。但是,请确保不要将存储密钥的文件提交到公共存储库。

答案 3 :(得分:2)

我不明白为什么你会打扰。密钥只对您的域名有效吗? IIRC,其中编码的唯一信息是您的域名,除了Google可能添加的任何信息,例如生成的时间。

答案 4 :(得分:0)

您应该使用后端/服务器端来保护和处理密钥。在我的情况下,我使用Django f / w服务器端,它可以提供ajax调用从服务器脚本/ db获取密钥,然后将其传递到谷歌api。

答案 5 :(得分:-4)

您可以使用php

完成此操作  1.将密钥保存到名为 key.ini 的文件中 googlemaps_api_key=xxxxxxxxxxxxxxxxx

 2.将文件保存在网站根文件夹外部的some_folder中,如 home / my_website / some_folder / key.ini ,其中我的网站根目录为 home / my_website / public_html / >

 3.在.php页(而不是.html页)中调用最新的Google Maps脚本,并添加
<?php $config['googlemaps_api_key']?>
而不是像
中的实际API密钥。 <script src="https://maps.googleapis.com/maps/api/js?key=<?php $config['googlemaps_api_key']?>&callback=initMap" async defer></script>

 现在,该网页将不会向公众显示实际的密钥。结果将是

<script src="https://maps.googleapis.com/maps/api/js?key=&callback=initMap" async="" defer=""></script>

您还可以更改 some_folder key.ini 来进一步限制访问。

请参阅此处,以安全地存储所有凭据
the language report