如何处理JavaScript中的唯一API密钥?

时间:2010-12-22 18:56:37

标签: javascript api web-applications

我是网络javascript开发的新手,并且正在为网络上的一些公共API使用应用程序和脚本。当站点向您发出用于标识应用程序的唯一键时,您可以将其编码到脚本中,以便访问站点API,但是任何可以访问您站点的人也可以检查JavaScipt的源,以便他们可以查看/获取/使用您的JavaScipt。 API密钥。

虽然这里没有针对您自己网站的直接安全问题,但这是否意味着其他任何人都可以使用我的API密钥并将其用于自己的应用程序,这完全不同?如何确保安全或以安全的方式存储?

这方面的最佳做法是什么?

3 个答案:

答案 0 :(得分:3)

通常,API密钥绑定到域。因此,即使有人试图使用您的密钥,它也不会在任何域上工作,而是在为其发布的网站上工作。

答案 1 :(得分:3)

API通常提供域身份验证作为API密钥的替代方案,因为需要从客户端代码调用API时。

答案 2 :(得分:2)

通常这些KEYS映射到域。因此,另一个人的域名将无法使用您的密钥。