it-swarm.com.de

Beschränken der API-Schlüssel von Google Maps auf meine Domain

Meine Website verwendet die JavaScript-API von Google Maps. Daher verwende ich einen "Browserschlüssel", der in meinem JavaScript für alle Benutzer von "Quelltext anzeigen" deutlich sichtbar ist.

In der Dokumentation von Google zu Browserschlüsseln in JavaScript-Apps ( https://support.google.com/cloud/answer/6158862?hl=de&ref_topic=626249 ) heißt es: "Erstellen und verwenden Sie einen Browserschlüssel für Ihre Anwendung wird auf einem Client ausgeführt, z. B. einem Webbrowser. Um zu verhindern, dass Ihr Schlüssel auf nicht autorisierten Websites verwendet wird, lassen Sie nur Verweise von von Ihnen verwalteten Domänen zu. "

Leider gibt es keine Anleitung, wie man die Aussagen des letzten Satzes umsetzt (Einschränkung der Domains für Browserschlüssel). Ich habe in den Menüs herumgejagt und konnte nicht herausfinden, wie es geht.

Der nächste, den ich bekommen habe, ist: In https://console.cloud.google.com Ich habe auf den Hambuger geklickt und "API Manager" ausgewählt, dann auf "Credentials" geklickt und auf die Registerkarte geklickt gekennzeichnet mit "Domain Verification". Ich habe keine Ahnung, ob dies der richtige Ort ist, aber es ist der einzige Ort, an dem Domains erwähnt werden. Auf dieser Registerkarte habe ich auf "Domain hinzufügen" geklickt und eine Domain hinzugefügt. Dies hat die Schlüssel jedoch nicht auf diese Domäne beschränkt. Ich habe den Browserschlüssel in einer anderen Domäne getestet, und der Schlüssel hat in dieser anderen Domäne funktioniert.

Kann jemand eine schrittweise Anleitung bereitstellen, wie der Browserschlüssel nur für eine Domain verwendet werden kann?

6
Mike W

Google ändert dies von Zeit zu Zeit und muss, wann immer dies der Fall ist, die jeweiligen Einstellungen "neu ermitteln".

Du bist also nicht allein!

Sie haben Recht, dass ein Browserschlüssel im Wesentlichen "öffentlich" ist und von der Domain begrenzt werden sollte, um ihn vor Diebstahl zu schützen. Es ist erwähnenswert, dass das Schlimmste, das passieren kann, wenn jemand gestohlen wird, darin besteht, dass Ihr kostenloses API-Anforderungslimit aufgebraucht wird (vorausgesetzt, Sie haben natürlich keinen Abrechnungsplan) und Anfragen von Ihrer Website abgelehnt werden. Sie können dann den Schlüssel entfernen und einen neuen erstellen, ohne zu viel Mühe zu haben. Aber natürlich ist es viel besser, dies insgesamt zu vermeiden!

Um zu begrenzen, dass API-Anfragen nur von Ihrer (n) Domain (s) stammen, starten Sie in der Google API Console , dann:

  1. Klicken Sie oben links auf das Hamburger-Menü
  2. Klicken Sie auf API Manager
  3. Klicken Sie auf Anmeldeinformationen
  4. Wählen oder erstellen Sie Ihr Projekt
  5. Klicken Sie auf Anmeldeinformationen erstellen und wählen Sie dann API-Schlüssel und Browserschlüssel aus
  6. Geben Sie den Namen Ihres Schlüssels ein (nur zur Identifizierung)
  7. Hier begrenzen Sie unter Anfragen von diesen HTTP-Verweisen (Websites) annehmen den Schlüssel auf Ihren Domain-Namen - Sie können *.domain.com/* bis eingeben decken Sie alles auf Ihrer Domain ab.
  8. Klicken Sie auf Erstellen

Wenn Sie einen bereits erstellten Schlüssel bearbeiten, klicken Sie anstelle der obigen Schritte 5 und 6 einfach auf den Namen des Schlüssels. Dort wird dasselbe Feld angezeigt, in das Sie Ihren Domain-Namen eingeben können.

Die Domain-Überprüfung, die Sie gefunden haben, veranlasst Google, zu überprüfen, ob Sie in der Suchkonsole bereits die Inhaberschaft Ihrer Domain bestätigt haben. Auf diese Weise kann Google Hooks an Ihre Domain zurücksenden, die meiner Meinung nach für einige der APIs erforderlich sind (ich bin mir nicht sicher, welche, da ich im Allgemeinen nur die JavaScript Maps-API verwende, die recht einfach ist!).

7
Tim Malone