管理 API 密钥的最佳实践

当您在应用中使用 API 密钥时,请确保其在存储和传输期间均安全无虞。公开泄露 API 密钥可能会导致您的账号产生意外费用或您的数据遭到未经授权的访问。为帮助确保 API 密钥的安全,请遵循以下最佳做法。

为密钥添加 API 密钥限制。

通过添加限制,您可以限制 API 密钥的使用方式,从而降低 API 密钥被破解造成的影响。

如需了解详情,请参阅应用 API 密钥限制

避免使用查询参数向 Google API 提供您的 API 密钥

将 API 密钥作为查询参数提供给 API 时,网址中会包含您的 API 密钥,从而使您的密钥面临通过网址扫描被盗的风险。请改用 x-goog-api-key HTML 参数客户端库

删除不需要的 API 密钥以最大限度地减少遭到攻击的风险

仅保留您当前使用的 API 密钥,以尽可能缩小攻击面。

定期轮替 API 密钥

定期创建新的 API 密钥,更新应用以使用新的 API 密钥,以及删除旧密钥。

如需了解详情,请参阅轮替 API 密钥

请勿在客户端代码中包含 API 密钥,也不要将其提交到代码库

在源代码中硬编码的 API 密钥或存储在代码库中的 API 密钥可能会被作恶方截取或窃取。客户端应将请求传递给服务器,后者可以添加凭据并发出请求。

实现强大的监控和日志记录功能

监控 API 用量有助于提醒您未经授权的使用情况。如需了解详情,请参阅 Cloud Monitoring 概览Cloud Logging 概览

考虑使用更安全的授权访问方法

如需有关选择身份验证方法的帮助,请参阅身份验证方法