我正在使用 Giphy 的 API,目前有一个开发密钥。我正在寻找部署我的网站,但不知道它是面向公众的密钥还是私人密钥,并且无法在线找到答案,也无法直接询问。
【问题讨论】:
标签: javascript giphy giphy-api
虽然我通常倾向于同意 Jay 的回答,但在查看了他们的 introduction 和特定的 javascript 示例之后,在我看来,这个密钥应该从浏览器中使用,因此它实际上是一个公钥。 我假设在此过程的后期,为了避免滥用生产 API 密钥,他们可能只提供来自您与该密钥一起注册的域的请求。 据我所知,开发密钥无论如何都是用于有限的测试目的,所以如果没有注册域,这不是问题。
【讨论】:
以下是 GIPHY 对此问题的官方回复:
GIPHY API 被设计用于客户端(因此也是 API 密钥)。您应该继续以这种方式使用它。开发完成后 - 请通过 Developer Dashboard 申请密钥的生产访问权限,这将消除与 beta 密钥相关的速率限制,因此您不必担心高流量。 最后,也是最重要的 - GIPHY 有监控 API 密钥滥用的设置,如果发生任何事情,我们会与您联系。我们绝对不想让您担心。
看来不用担心。
【讨论】:
是的,任何 API 密钥都一样。
如果您泄露了您的 API 密钥并且它被恶意使用它的人滥用,那么您就上钩了。
一个很好的例子就是人们将他们的 AWS 密钥泄露到 Github 并让它们被加密挖掘机器人自动抓取,这些机器人使用这些密钥来启动 EC2 实例并挖掘比特币等。
这里也一样。如果您泄露了生产密钥,任何人都可以简单地将其从您的应用程序中复制出来并在他们的应用程序中使用。
处理生产 API 密钥的正确方法是使用 Server Side Requests。
请求应遵循以下路径:
此中间人代码可防止任何人直接与您的 API 密钥交互。
【讨论】: