Comment utiliser en toute sécurité les clés de L'API Google
J'utilise donc L'API GoogleMaps sur mon premier projet... Donc oui je suis nouveau et je suis désolé si c'est basique ou évident mais je n'ai pas été en mesure de trouver une réponse ou une direction claire. Voici la documentation que J'ai trouvée sur Google concernant l'utilisation sécurisée de la clé API.
meilleures pratiques pour utiliser les clés API en toute sécurité
lorsque vous utilisez les clés API dans vos applications, veillez à les garder sécurisées. Exposer publiquement vos justificatifs d'identité peut en résulter votre compte ne soit compromise, ce qui pourrait conduire à des frais inattendus sur votre compte. Pour assurer la sécurité de vos clés API, suivez les bonnes pratiques suivantes:
Ne pas intégrer les clés API directement dans le code: les clés API qui sont intégrées dans le code peuvent être accidentellement exposées au public-par exemple, si vous oubliez de supprimer les clés du code que vous partagez. Au lieu d'intégrer vos clés API dans vos applications, stockez-les dans des variables d'environnement ou dans des fichiers extérieurs à la source de votre application. arbre. Ne pas stocker les clés API dans les fichiers à l'intérieur de l'arborescence des sources de votre application: si vous stockez les clés API dans les fichiers, gardez les fichiers à l'extérieur de l'arborescence des sources de votre application pour vous assurer que vos clés ne finissent pas dans votre système de contrôle du code source. Ceci est particulièrement important si vous utilisez un système de gestion de code source public tel que GitHub. Limitez vos clés API à utiliser uniquement par les adresses IP, les URL de référence et les applications mobiles qui en ont besoin: en limitant les adresses IP, les URL de référence, et applications mobiles qui peuvent utiliser chaque clé, vous pouvez réduire l'impact d'une clé API compromise. Vous pouvez spécifier les hôtes et les applications qui peuvent utiliser chaque clé de la console en ouvrant la page D'authentification, puis en créant une nouvelle clé API avec les paramètres que vous voulez, ou en éditant les paramètres d'une clé API. Supprimer les clés API inutiles: pour minimiser votre exposition à l'attaque, supprimez toutes les clés API dont vous n'avez plus besoin. Régénérez vos clés API périodiquement: vous pouvez régénérer les clés API à partir de la plateforme Cloud Page d'authentification de la Console en cliquant sur la touche régénérer pour chaque touche. Ensuite, mettez à jour vos applications pour utiliser les clés nouvellement générées. Vos anciennes clés continueront de fonctionner pendant 24 heures après que vous générez des clés de remplacement. Examinez votre code avant de le rendre public: assurez-vous que votre code ne contient pas les clés de L'API ou toute autre information privée avant de le rendre public.
maintenant mon problème est que je ne peux pas comprendre comment incorporer la carte de Google sur mon site sans les mettant directement dans le code. Pour l'instant, mon API est dans mon index.html comme ceci:
<script async defer
src="https://maps.googleapis.com/maps/api/js?key=YOUR_API_KEY&callback=initMap">
</script>
mais encore une fois ceci est directement dans mon code pour que le monde voit ce que je crois être le mauvais chemin.
3 réponses
pour L'API Javascript de Google Maps v3 les touches public sur votre page. Le texte applicable est le suivant:
restreignez vos clés API pour qu'elles ne soient utilisées que par adresses IP,referrer Url, et des applications mobiles besoin
allez sur la Console de L'API Google et générez une clé, en la limitant aux URLs que vous possédez (ou voulez mettre des maps) pour empêcher le "vol"de quota.
clé API meilleures pratiques de l'article vous vous référez à fournit seulement des directives générales pour l'utilisation des clés API, et avec certains utilisateurs finaux face aux API, comme L'API JavaScript de Google Maps, vous ne pouvez pas éviter d'exposer la clé API à l'utilisateur final.
dans une application publique de L'API JavaScript Maps, il est donc fortement recommandé d'ajouter une restriction de referrer à n'importe quelle clé utilisée dans un système de production, en particulier celles faisant face au public, et de n'autoriser que le domaine, l'hôte ou même URL du fichier complet de votre application.
Lorsque vous créez votre clé dans le Google API Console et choisissez les identifiants de configuration pour L'API JavaScript Maps, L'assistant vous indiquera comment sécuriser la clé, et vous demandera les URLs que vous souhaitez autoriser.
j'ai eu des problèmes avec cela. Ce que j'ai fait, c'est charger la clé depuis le serveur et ensuite utiliser cette bibliothèque pour charger l'api google après que la clé ait été récupérée:https://www.npmjs.com/package/google-maps