我有一个谷歌API帐户,并希望通过使用谷歌提供的选项来限制其(ab)使用,以限制对某些推荐人的访问。
今天我对
设定了限制localhost
*.mywebsite.com/*
一切顺利。
但我想知道:无论如何都有一个密钥,没有这个密钥的人可以访问我们的Google Data API配额。 但谷歌在安全页面上写道“限制措施可防止未经授权的使用和配额被盗”。 所以我想这是一个额外的安全层:如果有人要窃取/找到我们的密钥,那么他仍然会被第二层安全阻止,因为只有获得授权的网站才能访问我们的配额。
但后来我的问题是:由于我们拥有这个域,没有人可以发出来自 .mywebsite.com / 的请求,但是localhost呢?我的意思是我们需要它(很多!)在本地开发时提出我们的请求,但我想任何窃取/找到我们的密钥的人都可以添加'localhost'并从他的localhost服务器发出请求,从而将我们的配额设置为零。 所以,如果你添加localhost,网址引用者的全部内容就是为了避免滥用密钥被“失败”...
我在这里遗漏了什么吗?我们应该删除localhost作为URL引用限制作为一种不良的安全措施吗?