it-swarm.com.de

Wie verwende ich Google API-Schlüssel sicher?

Ich benutze also das Google Maps API für mein erstes Projekt, das ich gerade mache ... Also, ich bin neu und es tut mir leid, wenn dies grundlegend oder offensichtlich ist, aber ich konnte keine klare Antwort oder Richtung finden. Nachfolgend finden Sie die Dokumentation, die ich von Google gefunden habe und die den API-Schlüssel sicher verwendet.


Best Practices für die sichere Verwendung von API-Schlüsseln

Achten Sie bei der Verwendung von API-Schlüsseln in Ihren Anwendungen darauf, diese sicher zu halten. Wenn Sie Ihre Anmeldeinformationen öffentlich zugänglich machen, kann dies zu einer Gefährdung Ihres Kontos führen, was zu unerwarteten Gebühren für Ihr Konto führen kann. Befolgen Sie die folgenden bewährten Methoden, um Ihre API-Schlüssel zu schützen:

API-Schlüssel nicht direkt in Code einbetten: In Code eingebettete API-Schlüssel können versehentlich der Öffentlichkeit zugänglich gemacht werden, z. B. wenn Sie vergessen, die Schlüssel aus dem gemeinsam genutzten Code zu entfernen. Speichern Sie die API-Schlüssel nicht in Ihre Anwendungen ein, sondern speichern Sie sie in Umgebungsvariablen oder in Dateien außerhalb der Quellstruktur Ihrer Anwendung. Speichern Sie API-Schlüssel nicht in Dateien innerhalb der Quellstruktur der Anwendung: Wenn Sie API-Schlüssel in Dateien speichern, behalten Sie diese Die Dateien außerhalb des Quelltextbaums Ihrer Anwendung stellen sicher, dass Ihre Schlüssel nicht in Ihrem Quellcodeverwaltungssystem landen. Dies ist besonders wichtig, wenn Sie ein öffentliches Quellcodeverwaltungssystem wie GitHub ..__ verwenden. Beschränken Sie die Verwendung Ihrer API-Schlüssel nur für die IP-Adressen, Referrer-URLs und mobile Apps, die diese benötigen: Durch Einschränken der IP-Adressen, Referrer URLs und mobile Apps, die jeden Schlüssel verwenden können, können die Auswirkungen eines angegriffenen API-Schlüssels reduzieren. Sie können die Hosts und Apps angeben, die jeden Schlüssel von der Konsole aus verwenden können, indem Sie die Seite Anmeldeinformationen öffnen und dann entweder einen neuen API-Schlüssel mit den gewünschten Einstellungen erstellen oder die Einstellungen eines API-Schlüssels bearbeiten. __ Löschen Sie nicht benötigte API-Schlüssel Löschen Sie alle API-Schlüssel, die Sie nicht mehr benötigen, um das Risiko eines Angriffs zu minimieren Generieren Sie Ihre API-Schlüssel regelmäßig neu: Sie können API-Schlüssel von der Seite "Cloud Platform Console-Anmeldeinformationen" aus neu generieren, indem Sie für jeden Schlüssel auf "Neuer Schlüssel" klicken. Aktualisieren Sie anschließend Ihre Anwendungen, um die neu generierten Schlüssel zu verwenden. Ihre alten Schlüssel funktionieren 24 Stunden lang, nachdem Sie Ersatzschlüssel generiert haben. Überprüfen Sie Ihren Code, bevor Sie ihn öffentlich freigeben: Stellen Sie sicher, dass Ihr Code keine API-Schlüssel oder andere private Informationen enthält, bevor Sie Ihren Code öffentlich verfügbar machen.


Jetzt ist mein Problem: Ich kann nicht herausfinden, wie ich Google Map in meine Website integrieren kann, ohne sie direkt in den Code einzufügen. Im Moment ist meine API in meiner index.html so:

<script async defer
    src="https://maps.googleapis.com/maps/api/js?key=YOUR_API_KEY&callback=initMap">
</script>

Aber wieder ist dies direkt in meinem Code für die Welt zu sehen, was meiner Meinung nach der falsche Weg ist.

40
Jack O

Für die Google Maps Javascript API v3 müssen die Schlüssel müssen auf Ihrer Seite öffentlich sein .. _. Der zutreffende Text lautet:

Beschränken Sie die Verwendung Ihrer API-Schlüssel nur für die IP-Adressen, Referrer-URLs und für mobile Apps, die diese benötigen

Wechseln Sie zur Google API Console, und generieren Sie einen Schlüssel. Beschränken Sie ihn auf URLs, die Ihnen gehören (oder Karten hinzufügen möchten), um einen "Diebstahl" von Quoten zu verhindern. 

46
geocodezip

Der Artikel API-Schlüsselempfehlungen , auf den Sie verweisen, enthält nur allgemeine Richtlinien für die Verwendung von API-Schlüsseln. Bei bestimmten Endbenutzer-APIs, z. B. der Google Maps-JavaScript-API, können Sie es nicht vermeiden, den API-Schlüssel für den Endbenutzer verfügbar zu machen .

In einer öffentlichen Maps JavaScript API-App wird daher dringend empfohlen, eine Verweisbeschränkung für jeden in einem Produktionssystem verwendeten Schlüssel hinzuzufügen, insbesondere für öffentlich zugängliche, und nur die Domäne, den Host oder die vollständige Datei-URL Ihrer App zu autorisieren.

Wenn Sie Ihren Schlüssel in der Google API Console erstellen und die Anmeldeinformationen für die Google Maps JavaScript-API festlegen, werden Sie vom Assistenten dazu aufgefordert, den Schlüssel zu sichern, und Sie werden zur Eingabe von URLs aufgefordert, die Sie autorisieren möchten.

14
Ville N.

Ich hatte auch Probleme damit. Ich habe den Schlüssel vom Server geladen und dann diese Bibliothek verwendet, um das Google-API zu laden, nachdem der Schlüssel abgerufen wurde: https://www.npmjs.com/package/google-maps . Sie können dann zusätzlich den http-Referrer sperren

0
jgerstle