我应该让我的地理编码API密钥成为一个秘密吗？

Question

我正在使用谷歌的geocoding api。我会用ajax打这样的端点...

$.ajax({ 
    url: https://maps.googleapis.com/maps/api/geocode/json?address=1600+Amphitheatre+Parkway,+Mountain+View,+CA&key=MY_API_KEY, 
    success: function(data) { 
    console.log("yay"); 
    } 
}) 

将我的api key直接添加到我的javascript中是否安全？这意味着它可以从我的网站以及源代码控制中查看。 我应该采取什么预防措施？

Answer 1

没有，你应该绝对隐藏客户端和源代码控制的API密钥。恶意用户可能会使用该密钥来耗尽您的配额，使您的应用程序无法使用。

为了避免这种情况，请创建一个服务器，从API获取数据并将其提供给用户。另外，您应该应用速率限制，以防止用户通过自己的应用程序耗尽配额。

欲了解更多信息，请参阅this support article。

Answer 2

请考虑在Google Maps JavaScript API中使用Geocoding Service。加载JavaScript API时，请确保use an API key that is restricted to your website。

请记住Google地理编码服务must be displayed on a Google map的结果（请参阅10.4.d和10.4.e）。