我已经向Heroku部署了一个应用程序,并使用了heroku config:set命令来设置环境变量,例如某些事物的键(例如Google Maps API)。当我查看页面并检查元素时,键出现在控制台的url中。应该是这样的吗?我的印象是,为了安全起见,应该隐藏密钥以防止其他人知道它们是什么。请指教。谢谢。
答案 0 :(得分:1)
你不能。发送给客户的任何东西都不是秘密的。这包括javascript中使用的任何值。
但不要担心 - 大多数API都像谷歌地图一样使用公钥。使用Oauth的应用程序只允许回调域的白名单。
实际上在Google Maps Javascript API中,您的API密钥用于构造用于请求资源的URL,因此尝试隐藏它将是一个真正的傻瓜差事。
然而,某些API提供了从服务器端调用API的客户机密码。这些应保密,并放在服务器上的ENV var中。