使用firebase隐藏第三方API密钥
我在firebase中建立了一个网站。它是一个简单的查找服务,只有一个输入元素可以向第三方api发出请求。
www.3rdparty.com/api/ [myapikey] /方法
问题在于,我每秒仅限x次请求,我无法向用户公开我的api-key。
我的任务最终是将响应存储在firebase中,以便限制到达第三方的请求数量(缓存功能)
1 个答案:
答案 0 :(得分:5)
将这样的API密钥放入应用程序的客户端代码会导致恶意用户将密钥用于自己的目的的风险。除了不将API密钥包含在客户端代码中之外,您无能为力。这同样适用于Android和iOS代码btw。
由于您无法将API密钥放在客户端代码中,因此您必须在服务器上运行它。这是在Firebase体系结构中使用服务器端代码的一种非常常见的情况:代码需要访问一些不能信任普通客户端的信息。我们blog post on common Firebase application architectures中的模式2涵盖了它。
从博客文章:
这种体系结构的一个例子是客户端为服务器放置任务以在队列中处理。只要有可用资源,您就可以让一个或多个服务器从队列中挑选项目,然后将结果放回Firebase数据库,以便客户端可以读取它们。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?