security - 在Google Apps脚本中管理API机密的适当方法是什么？

时间：2018-11-07 20:51:16

标签： security google-apps-script authorization secret-key key-management

如果我编写了一个Google Apps脚本，并且需要在脚本中调用第三方API或进行数据库调用，那么管理秘密API密钥和密码的适当方法是什么？

如果我将脚本作为API发布但不共享对包含Google Apps脚本的Google云端硬盘位置的访问权限，是否有将机密直接放置在脚本中的风险

答案 0 :(得分：2)

没有正确或错误的答案。有很多因素需要考虑：

如果这是针对G-Suite的，则您的G-Suite管理员将具有（或可以）访问任何内容。这可能是问题，也可能不是问题。
如果将数据放在工作表中，则对该工作表具有读取权限的任何人都可以看到该数据。
您可以使用PropertiesService，然后人们可以按照文档中的说明进行访问。用户属性是一种方法，但可能无法在所有用例中都起作用-就像其他用户正在执行代码一样。如果对您的用例可行，则可以使用可安装的触发器。
如果人们需要能够使用您的密钥进行API调用，则可以编写一个代理网络应用，他们可以调用该代理，但看不到其来源。