[英]Front-End API Token Exposure
我的问题很简单和一般:在调用RESTFUL API时,无论是我的还是外部API,将令牌暴露在前端是否常见? 例如,在Google Maps API的文档中,他们建议使用以下代码:
<script src="https://maps.googleapis.com/maps/api/js?key=YOUR_API_KEY&callback=initMap"
async defer></script>
您的API密钥在前端公开以供所有人查看的事实可以吗? 我猜谷歌可以选择限制访问,这样可以解决这个问题,但是那些不提供该选项的其他服务呢?
将API调用保留在后端以保护我的令牌更好吗? 我认为,将它们放在后端,不会是首选,因为它们无法异步获取数据
简而言之,是的,如果您可以在客户端系统上欺骗http referer标题,则可以在您的站点中使用其他API密钥。事实上,如果您拥有其中任何一个,您甚至可以完全满足他的配额。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.