我目前正在开发一个使用Google Blogger API的项目。前天(星期六)有人攻击我的应用程序并获取API密钥,我访问帖子的每日限制是100,000(100K / 24小时)。我在星期六达到了限制(我怀疑那些是使用我的API密钥进行的欺诈性点击,因为我只有4K客户使用该应用程序,我在客户端代码中嵌入了API密钥)。 / p>
之后,在五分钟内再次达到API限制(24小时后)5K。所以我删除了API密钥并生成了一个新密钥。
我的问题是如何在客户端代码中保护我的新API密钥,以便攻击者无法访问API密钥或至少某些方法间接使用客户端代码中的API密钥。
答案 0 :(得分:2)
Google API控制台可让您将API密钥绑定到应用的一组签名证书 如果将API密钥限制为几个证书,则API对攻击者来说应该没用。 (只要你保密你的私钥。)