Должен ли я хранить ключ API браузера-приложения Blogger в секрете?
Ссылаясь на выделенный ключ API на приведенном ниже изображении, я задаюсь вопросом, должен ли ключ API Blogger, используемый для браузерных приложений, храниться в секрете.
Причина, по которой я спрашиваю, заключается в том, что я планирую написать сообщение в блоге об использовании API Google Blogger в JavaScript и хотел бы предоставить рабочий пример использования API (вместе с ключом API в примере кода) публично на jsFiddle.
Вот что я нашел в документации (выделенный примечательный раздел):
[...] Когда ваше приложение должно вызвать API, который включен в этом проект, приложение передает этот ключ во все запросы API в качестве ключ=параметр API_key. Использование этого ключа не требует какого-либо пользователя действие или согласие, не предоставляет доступ к какой-либо информации учетной записи, и не используется для авторизации .
Так что я прав, предполагая, что я могу публично поделиться этим ключом API, не рискуя иметь кто-то совершил с ним злой поступок?
1 ответ:
Хотя никакая информация об учетной записи, аутентификация и другие данные не могут быть получены только с помощью ключа, он используется для привязки вызовов API к проекту Google.
Если ключ находится в открытом доступе, люди могут делать запросы с его помощью, и API Google свяжет запросы с вашим проектом Google. Это может дать злоумышленникам возможность спамить запросы с помощью этого ключа, вероятно, что ваша учетная запись попадет в ежедневную квоту запросов.
В конце концов, это зависит от вас, но рекомендуется не делать этого. сделайте свой API-ключ открытым.