如何使用 Google Picker Library 管理机密?
How to manage secrets with Google Picker Library?
我有 html/js 的网络应用程序。为 gdrive 集成 Google 选择器 library。在浏览器开发 tools/source 代码中:developerKey、clientId、appId 被公开。这会带来任何安全风险 (1) 还是可能 public?如果不是,有什么方法可以隐藏它?
(1) 我已将 Google 控制台中的 developerKey 限制为仅用于 gdrive,不能用于其他。
没有安全风险,因为它们不能用于验证您的帐户或获取私人信息,但有人可以使用您的 API 密钥向 Google APIs 公开了 public 信息(例如 Google 地图)并收取这些配额费用。要阻止该配额 "theft",您有 2 个选择:
1) 按照 Google guidelines 限制您的 API 密钥只能从特定 URL 或特定 IP 地址使用。
2) 设置后端服务对每个用户进行身份验证,以便获得 API 密钥,如本 中所述。
我有 html/js 的网络应用程序。为 gdrive 集成 Google 选择器 library。在浏览器开发 tools/source 代码中:developerKey、clientId、appId 被公开。这会带来任何安全风险 (1) 还是可能 public?如果不是,有什么方法可以隐藏它?
(1) 我已将 Google 控制台中的 developerKey 限制为仅用于 gdrive,不能用于其他。
没有安全风险,因为它们不能用于验证您的帐户或获取私人信息,但有人可以使用您的 API 密钥向 Google APIs 公开了 public 信息(例如 Google 地图)并收取这些配额费用。要阻止该配额 "theft",您有 2 个选择:
1) 按照 Google guidelines 限制您的 API 密钥只能从特定 URL 或特定 IP 地址使用。
2) 设置后端服务对每个用户进行身份验证,以便获得 API 密钥,如本