Langkah apa yang harus saya ambil untuk melindungi Kunci API Google Maps saya?

Saya telah memperoleh kunci Google Maps API untuk domain saya.

Contoh yang diberikan ketika saya mendapatkan kunci saya menunjukkan kunci yang disematkan dalam parameter permintaan, misalnya:

<script src="http://maps.google.com/maps?file=api&amp;v=2&amp;sensor=true_or_false&amp;key=my-key" type="text/javascript"></script>

Saya menghargai bahwa bidang perujuk dalam permintaan harus sesuai dengan domain saya, apakah aman untuk membuat kunci saya terlihat di tag skrip dan sejenisnya? Atau apakah ada langkah lain yang harus saya ambil?

Mengingat kunci tersebut harus disertakan dalam <script>tag halaman HTML Anda, untuk memuat file / data JS dari server Google, tidak ada yang dapat Anda lakukan:

• Anda harus memasukkannya ke dalam file HTML Anda
• setiap orang bisa melihatnya.

Namun, itu tidak terlalu penting: jika ada yang mencoba menggunakan kunci ini di domain lain selain domain Anda, mereka akan mendapatkan peringatan Javascript - yang tidak baik untuk pengguna lain.

Jadi:

• Tidak ada yang bisa kamu lakukan ; inilah cara kerjanya
• Dan tidak banyak yang perlu Anda khawatirkan, menurut saya.

Terdapat setelan di konsol Google API yang dapat melindungi penggunaan bandwith API Anda agar tidak digunakan oleh domain / pengguna lain. Anda dapat membatasi dan melindungi itu dengan menggunakan perujuk di konsol API. Kunci API akan menolak permintaan tanpa perujuk yang cocok dengan batasan Anda.

Berikut adalah screenshot dari Google untuk API Key yang hanya dapat digunakan oleh Google dari dua domainnya.

Meskipun pertanyaan ini berumur beberapa tahun, itu pertanyaan yang sangat bagus. Seperti yang saya pahami, mengekspos kunci API, meskipun cocok dengan domain, masih dapat menyebabkan penyalahgunaan. Ada pos di Security Stack Exchange di sini yang membahas ini lebih detail.

Langkah-langkah yang dapat Anda ambil untuk menghindari kemungkinan penyalahgunaan telah dipublikasikan oleh Google di sini:

Panduan Praktik Terbaik untuk menggunakan API dengan aman: https://support.google.com/cloud/answer/6310037?hl=id

Meskipun saya akan merekomendasikan untuk mengambil semuanya, ada pendekatan yang akan menangani contoh spesifik yang telah diposting oleh Brabster dan itu untuk menyimpan kunci dalam variabel lingkungan . Dengan cara ini yang perlu Anda lakukan adalah mengganti kunci untuk variabel sisi server yang disimpan dalam proyek Anda. Namun, pastikan untuk tidak memasukkan file yang menyimpan kunci ke repositori publik.

Anda harus menggunakan back end / sisi server untuk melindungi dan menangani kunci. Dalam kasus saya, saya menggunakan sisi server Django f / w yang dapat melayani panggilan ajax untuk mendapatkan kunci dari skrip server / db kemudian meneruskannya ke api google.