参考下图中突出显示的API密钥,我想知道用于浏览器应用的Blogger API密钥是否应该保密。我应该让我的Blogger浏览器应用API密钥保密吗?
我之所以这样问是因为我打算写一篇博客文章在JavaScript中使用谷歌的Blogger API,并会喜欢使用API(与API密钥一起提供一个工作示例在代码示例中)在jsFiddle上公开。
这是我在documentation发现(高亮显着的部分):
[...]当你的应用程序需要调用在这 项目启用的API,应用程序通过这个键入所有API请求作为 key = API_key参数。 使用此密钥不需要任何用户 操作或同意,不授予任何帐户信息的访问权限, 并且不用于授权。
那么我是否有权假定我可以公开分享这个API密钥,而不会冒着有人对其进行恶意行为的风险?
好的,所以@LeonLucardie答案基本上没有。然后,API密钥会在每个请求中公开发送,因此攻击者可能通过嗅探请求来获取密钥? – stys 2013-05-02 07:44:44
是的,事实是,据我所知,这个API密钥应该在制作浏览器应用程序时使用,即它不能真正隐藏,因为所有的代码都在客户端的浏览器中。 所以基本上,我不认为它特别意味着保密。 – 2013-05-02 11:55:13
我同意。任何想法如何保护应用程序免受“每日请求限额”攻击? – stys 2013-05-02 13:59:25