【发布时间】:2017-01-30 05:41:42
【问题描述】:
所以我在我正在做的第一个项目中使用 Google Maps API...所以是的,我是新手,如果这是基本的或显而易见的,我很抱歉,但我无法找到明确的答案或方向。以下是我从 Google 找到的关于安全使用 API 密钥的文档。
安全使用 API 密钥的最佳实践
当您在应用程序中使用 API 密钥时,请注意确保它们的安全。公开暴露您的凭据可能会导致您的帐户遭到入侵,这可能会导致您的帐户产生意外费用。为确保您的 API 密钥安全,请遵循以下最佳做法:
不要将 API 密钥直接嵌入代码中:嵌入代码中的 API 密钥可能会意外暴露给公众,例如,如果您忘记从共享的代码中删除密钥。与其将 API 密钥嵌入到应用程序中,不如将它们存储在环境变量或应用程序源代码树之外的文件中。 不要将 API 密钥存储在应用程序源代码树内的文件中:如果您将 API 密钥存储在文件中,请将文件保存在应用程序源代码树之外,以帮助确保您的密钥不会最终出现在源代码控制系统中。如果您使用 GitHub 等公共源代码管理系统,这一点尤其重要。 限制您的 API 密钥仅由需要它们的 IP 地址、引荐来源网址和移动应用程序使用:通过限制可以使用每个密钥的 IP 地址、引荐来源网址和移动应用程序,您可以减少受损 API 的影响钥匙。您可以通过打开“凭据”页面然后使用所需设置创建新的 API 密钥或编辑 API 密钥的设置来指定可以从控制台使用每个密钥的主机和应用程序。 删除不需要的 API 密钥:为了最大限度地减少您受到攻击的风险,请删除您不再需要的任何 API 密钥。 定期重新生成 API 密钥:您可以从 Cloud Platform Console Credentials 页面通过单击每个密钥的重新生成密钥来重新生成 API 密钥。然后,更新您的应用程序以使用新生成的密钥。在您生成替换密钥后,您的旧密钥将继续工作 24 小时。 在公开发布之前检查您的代码:在公开发布您的代码之前,请确保您的代码不包含 API 密钥或任何其他私人信息。
现在我的问题是,如果不直接将其放入代码中,我无法弄清楚如何将 Google 地图合并到我的网站上。现在我的 API 在我的 index.html 中,如下所示:
<script async defer
src="https://maps.googleapis.com/maps/api/js?key=YOUR_API_KEY&callback=initMap">
</script>
但这又是直接在我的代码中,让世界看到我认为是错误的方式。
【问题讨论】:
标签: html google-maps google-maps-api-3 api-key