我正在做我的第一个项目,使用Google地图API... 我是新手,如果这很基础或显而易见,我很抱歉,但我没有找到清晰的答案或方向。以下是我从Google找到的关于安全使用API密钥的文档。
安全使用API密钥的最佳实践
在应用程序中使用API密钥时,请注意保护它们的安全性。公开暴露您的凭据可能导致您的帐户被入侵,从而可能会对您的账户产生意想不到的费用。为了保护您的API密钥安全,请遵循以下最佳实践:
不要直接将API密钥嵌入代码中:嵌入代码中的API密钥可能会意外地公开给公众,例如,如果您忘记从共享的代码中删除密钥。不要将API密钥嵌入应用程序中,而是将它们存储在环境变量或在应用程序源树之外的文件中。 不要将API密钥存储在应用程序源树内的文件中:如果您将API密钥存储在文件中,请将这些文件放在应用程序源树之外,以确保您的密钥不会出现在源代码控制系统中。如果您使用公共源代码管理系统,例如GitHub,则特别重要。 将API密钥限制为仅可由需要它们的IP地址、引荐URL和移动应用程序使用:通过限制可以使用每个密钥的IP地址、引荐URL和移动应用程序,您可以减少受攻击的API密钥的影响。您可以通过打开凭据页面并创建具有所需设置的新API密钥或编辑API密钥的设置来指定可以使用每个密钥的主机和应用程序。 删除不需要的API密钥:为了最小化遭受攻击的风险,请删除任何不再需要的API密钥。 定期重新生成API密钥:您可以从Cloud平台控制台凭据页面重新生成API密钥,方法是单击每个密钥的“重新生成密钥”。然后,更新您的应用程序以使用新生成的密钥。在生成替换密钥后的24小时内,旧密钥将继续工作。 发布您的代码之前请检查代码:确保在公开发布代码之前,您的代码不包含API密钥或其他任何私人信息。
现在我的问题是我无法弄清楚如何在网站上运用Google地图而不直接将其放在代码中。现在我的API在我的index.html文件中,就像这样:
<script async defer
src="https://maps.googleapis.com/maps/api/js?key=YOUR_API_KEY&callback=initMap">
</script>
但是,这又直接出现在我的代码中供全世界查看,我认为这不是正确的做法。