【发布时间】:2013-04-22 12:36:30
【问题描述】:
参考下图中突出显示的 API 密钥,我想知道用于浏览器应用程序的 Blogger API 密钥是否应该保密。
我问的原因是因为我打算写一篇关于在 JavaScript 中使用 Google Blogger API 的博文,并且希望公开提供一个使用该 API(以及代码示例中的 API 密钥)的工作示例在 jsFiddle 上。
这是我在documentation 中找到的(突出显示的值得注意的部分):
[...] 当您的应用程序需要调用在此启用的 API 时 项目中,应用程序将此密钥作为 key=API_key 参数。 使用此密钥不需要任何用户 行动或同意,不授予访问任何帐户信息的权限, 并且不用于授权。
那么我是否可以假设我可以公开共享此 API 密钥而不会冒有人对其进行恶意行为的风险?
【问题讨论】:
-
好的,所以@LeonLucardie 的回答基本上是否定的。然后在每个请求中公开发送 API 密钥,这样攻击者就可以通过嗅探请求来获取密钥?
-
是的,据我了解,这个 API 密钥应该在制作浏览器应用程序时使用,即它不能真正隐藏,因为所有代码都将在客户端的浏览器中。所以基本上,我不认为它是特别要保密的。
-
我同意。任何想法如何保护应用程序免受“达到每日请求配额”攻击?