我刚刚从gmaps切换到Mapbox,并希望保持帐户和令牌的安全。
我已经添加了一组能够访问我的地图框服务的网址 我有默认范围:
样式:瓷砖 风格:阅读 字体:阅读 数据集:读取 视觉:阅读
在我的应用中,我只是在屏幕上显示一些标记,然后在悬停时显示一个弹出窗口,所以我认为这些范围很好。
问题是我的令牌在客户端上,因此我对公众可见。
这是正确的吗?还是我必须从后端发送它?但是即使在那种情况下,它仍然会显示在客户端中,这样可以吗?
答案 0 :(得分:0)
您所做的是正确的:在JavaScript前端公开公共API令牌(pk.something)。听起来您尝试减轻的风险是有人抓住您的令牌进行自己的API调用的风险。设置URL限制(如您所完成的)并偶尔旋转令牌是正确的方法。